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内 容 简 介 

“ 物 联网 ”的 概念 源 于 互联 网 ， 它 是 互联 网 实现 具体 应 用 化 的 表现 。 近 几 年 ， 物 联网 开始 应 用 于 家 
庭 、 农 业 、 军 事 、 医 疗 、 交 通 等 多 个 领域 ， 给 人 们 的 生产 和 生活 带 来 了 便利 ， 但 同时 物 联网 信息 安全 方 
面 也 面临 巨大 挑战 。 本 书 以 物 联网 信息 安全 为 出 发 点 ， 讲 解 物 联网 的 安全 技术 与 应 用 ， 内 容 包 括 物 联网 
信息 安全 概述 、 物 联网 信息 安全 、 物 联网 信息 安全 密码 概述 、 物 联网 感知 层 安全 技术 分 析 、 物 联网 网 络 
层 安全 技术 分 析 、 物 联网 应 用 层 安 全 技术 分 析 、 物 联网 信息 接 入 安全 技术 、 物 联网 的 网 络 安全 技术 、 物 
联网 信息 安全 技术 应 用 、 智 能 家 居 信 息 安 全 系统 。 本 书 内 容 新 颖 ， 侧 重 于 物 联网 信息 安全 技术 和 应 用 案 
例 ， 讲 解 前 沿 物 联网 安全 技术 知识 ， 同 时 融入 了 全 新 的 物 联网 研究 成 果 和 应 用 。 

本 书 适 合 高 等 院 校 物 联网 工程 专业 的 本 科 生 、 高 职高 专 院 校 物 联网 专业 学 生 作为 教材 使 用 ， 同 时 也 
适合 物 联网 相关 从 业 人 员 及 相关 领域 研究 人 员 参 考 阅 读 。 
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前 王 


随 着 互联 网 的 普及 和 计算 机 行业 的 飞速 发 展 ， 物 联网 逐渐 进入 大 众 视野 ， 并 已 经 成 为 
继 互联 网 之 后 的 第 三 次 信息 产业 热潮 ， 作 为 国家 新 产业 ， 被 大 力 发 展 。 在 物 联 网 和 云 计 算 
环境 中 ， 由 于 跨 域 使 用 资源 、 外 包 服 务 数据 、 远 程 检测 和 控制 系统 ， 使 得 数据 安全 和 通信 
安全 变 得 更 加 复杂 ， 并 呈现 出 与 以 往 不 同 的 新 特征 ， 需 要 研发 新 的 安全 技术 以 支撑 这 样 的 
开放 网 络 应 用 环境 。 因 此 ， 物 联网 安全 技术 也 面临 严峻 的 挑战 。 针 对 物 联 网 安全 问题 ， 提 
出 解决 策略 ， 解 决 关键 问题 。 

目前 ， 物 联网 已 经 被 纳入 高 校 教学 计划 ， 国 内 已 有 许多 高 校 开办 物 联 网 专业 ， 物 联网 
安全 技术 是 物 联网 方向 的 重要 课题 ， 因 此 ， 很 多 高 校 急需 一 本 系统 性 的 物 联网 安全 技术 图 
书 。 本 书 从 物 联网 安全 基础 、 物 联网 感知 安全 、 物 联网 传输 安全 、 物 联网 应 用 安全 、 物 联 
网 信息 安全 、 物 联网 网 络 安全 等 多 个 方面 对 物 联网 安全 问题 及 典型 的 物 联网 安全 技术 进 
行 了 总 结 和 分 析 。 

全 书 共 10 章 ， 第 1~3 章 主要 介绍 物 联网 的 基本 概念 、 物 联网 安全 的 整体 结构 、 物 联 
网 安全 面临 的 威胁 与 防范 措施 、 物 联网 信息 安全 密码 的 体制 与 分 类 。 第 4 一 6 章 分 别 介绍 物 
联网 感知 层 、 网 络 层 、 应 用 层 的 安全 技术 ， 这 也 是 本 书 的 重点 。 第 7 一 9 章 介 绍 物 联网 信息 
接 入 技术 、 物 联网 中 网 络 入 侵 的 安全 技术 (包括 系统 安全 、 网 络 病毒 、 防 火 墙 、 网 络 防御 技 
术 等 )、 物 联网 信息 安全 技术 的 应 用 。 第 10 章 在 物 联网 的 应 用 领域 选取 智能 家 居 信息 安全 系 
统 ， 用 具体 的 应 用 实例 介绍 物 联网 在 智能 家 居 安 全 方面 的 设计 。 

在 内 容 安 排 上 ， 在 专业 内 涵 、 专 业 知识 领域 方面 ， 本 书 都 具有 较 强 的 学 习 针 对 性 。 本 
书 采用 分 层 架 构思 想 ， 由 下 至 上 地 论述 物 联网 信息 安全 的 体系 结构 和 相关 技术 ， 包 括 物 联 
网 与 信息 安全 、 数 据 安全 、 隐 私 安全 、 接 入 安全 、 系 统 安全 和 无 线 网 络 安全 等 内 容 。 

本 书 由 重庆 第 二 师范 学 院 贺 方 成 、 韦 鹏 程 、 付 仕明 根据 自身 教学 经 验 积累 及 部 分 物 联 
网 参考 资料 、 文 献 及 自身 科研 成 果 撰写 而 成 。 为 了 满足 物 联 网 工程 专业 学 者 及 从 业 技 术 人 
员 的 学 习 需 求 ， 也 为 了 适应 物 联网 安全 发 展 的 需求 ， 作 者 尽 自身 所 能 写成 此 书 ， 期 望 本 书 
能 对 读者 起 到 实际 效果 ， 也 期 望 能 够 为 推动 我 国 物 联网 的 发 展 贡献 自身 的 一 分 力量 。 该 书 
支持 项 目 为 : 重庆 市 交互 式 教 育 电子 工程 技术 研究 中 心 、 重 庆 市 儿童 大 数据 工程 实验 室 、 
重庆 市 计算 机 科学 与 技术 重点 学 科 和 重庆 市 计算 科学 与 技术 特色 专业 。 本 书 在 编写 过 程 中 ， 
还 借鉴 了 国内 外 物 联网 的 重要 研究 成 果 以 及 案例 ， 在 此 向 相关 人 员 表 示 敬 意 和 感谢 。 

由 于 作者 水 平和 学 识 有 限 ， 加 之 时 间 仓 促 ， 书 中 不 妥 之 处 在 所 难免 ， 息 切 地 希望 广大 
读者 及 同行 专家 批评 指正 。 
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会 物 联网 信息 安全 概述 


学 习 导 读 


物 联 网 是 现代 信息 技术 发 展 到 一 定 阶 段 后 出 现 的 一 种 聚合 性 应 
用 与 技术 提升 ， 将 各 种 感知 技术 、 现 代 网 络 技术 和 各 种 人 工 智 能 自动 
化 技术 聚合 与 集成 应 用 ， 使 人 与 物 智慧 对 话 ， 创 造 一 个 智慧 的 世界 。 
随 着 物 联网 技术 的 广泛 应 用 ， 物 联网 的 安全 性 能 也 受到 关注 。 
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1.1 物 联 网 概述 


物 联 网 通过 装置 在 各 类 物体 上 的 电子 标签 、 传 感 器 、 二 维 码 采集 信息 ， 并 通过 通信 网 
络 将 物 与 物 、 物 与 人 相连 ， 协 同 工 作 ， 从 而 给 物体 赋予 智能 。 物 联网 是 继 计算 机 、 互 联网 
之 后 的 第 三 次 信息 科技 发 展 浪潮 。 物 联网 是 互联 网 的 发 展演 化 ， 并 与 云 计 算 、 大 数据 等 概 
念 相 结合 ， 对 海量 的 跨 地 域 、 跨 行业 、 跨 部 门 的 数据 和 信息 进行 分 析 处 理 ， 提 升 对 物理 世 
界 、 经 济 社会 各 种 活动 和 变化 的 洞察 力 ， 实 现 智 能 化 的 决策 和 控制 。 


1.1.1 物 联网 的 定义 与 特点 
1. 物 联网 的 定义 


物 联网 是 新 一 代 信息 技术 的 重要 组 成 部 分 ， 其 英文 名 称 是 The Intemet of things。 顾 名 
思 义 : “ 物 联网 是 物 物 相连 的 互联 网 。” 这 有 两 层 意思 : 第 一 ， 物 联网 的 核心 和 基础 仍然 
是 互联 网 ， 是 在 互联 网 基础 上 延伸 和 扩展 的 网 络 ， 第 二 ， 其 用 户 端 延伸 和 扩展 到 了 任何 物 
品 与 物品 之 间 进 行 信息 交换 和 通信 。 因 此 ， 物 联网 的 定义 是 通过 射频 识别 (RFID)、 红 外 感 
应 器 、 全 球 定位 系统 、 激 光 扫 描 器 等 信息 传 感 设备 ， 按 约定 的 协议 ， 把 任何 物品 与 互联 网 
相连 接 ， 进 行 信息 交换 和 通信 ， 以 实现 对 物品 的 智能 化 识别 、 定 位 、 跟 踪 、 监 控 和 管理 的 
一 种 网 络 。 


2. 物 联网 的 特点 


互联 网 是 人 与 人 之 间 的 网 络 ， 而 物 联网 是 物 与 物 、 物 与 人 之 间 的 网 络 。 与 互联 网 相 比 ， 
物 联 网 具有 以 下 几 个 特点 。 

1) ” 传 感 信息 能 力 较 强 

物 联网 可 以 利用 RFID、 传 感 器 、 二 维 码 等 技术 随时 随地 获取 物体 的 信息 。 在 物 联网 中 
存在 许多 传感器 ， 每 一 个 传感器 都 是 一 个 信息 源 。 传 感 器 有 不 同 的 类 别 ， 不 同 的 传感器 所 
捕获 、 传 递 的 信息 内 容 和 格式 会 存在 差异 ， 传 感 器 按照 一 定 的 频率 周期 性 地 采集 环境 信息 ， 
每 一 次 新 的 采集 就 会 得 到 新 的 数据 。 

2) ”传递 功能 较为 强大 且 可 靠 

互联 网 信息 量规 模 的 扩大 会 导致 信息 的 维护 、 查 找 、 使 用 的 困难 相应 增加 ， 所 以 从 海 
量 的 信息 中 快速 、 方 便 地 找到 具有 使 用 需求 的 信息 就 显得 尤为 重要 。 物 联网 可 以 通过 各 种 
电信 网 络 与 互联 网 的 融合 ， 将 物体 的 信息 及 时 准确 地 传递 出 去 。 

3) ”智能 处 理 功能 

物 联 网 可 以 利用 云 计算 、 模 糊 识别 等 各 种 智能 计算 技术 ， 对 海量 的 数据 和 信息 进行 分 
析 与 处 理 ， 对 物体 实施 智能 化 的 控制 。 

4) ”多 角度 过 滤 和 分 析 

对 海量 的 传 感 信息 进行 过 滤 和 分 析 ， 是 有 效 利用 这 些 信 息 的 关键 。 面 对 不 同 的 应 用 ， 
要 从 不 同 的 角度 进行 过 滤 和 分 析 。 
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1.1.2 ” 物 联网 的 应 用 行业 


各 个 行业 都 对 物 联 网 有 较 大 需求 ， 如 商场 购物 、 医 疗 监 测 、 配 送 中 心 等 ， 发 展 物 联 网 
并 将 其 应 用 于 这 些 行业 ， 必 然 产生 很 大 的 经 济 效益 。 由 于 人 们 更 在 乎 物 联网 相关 产品 的 收 
费 方式 和 产品 服务 ， 对 于 技术 要 求 不 是 很 高 。 所 以 物 联网 应 当 以 服务 为 主 ， 协 调 好 技术 成 
本 与 收费 ， 这 是 将 来 取得 效益 的 关键 。 相 信 在 未 来 几 年 ， 物 联网 的 产业 规模 将 进入 快速 增 
长 期 。 

物 联 网 的 应 用 非常 广泛 ， 包 括 智能 家 居 、 智 能 物流 、 智 能 电网 、 智 能 交通 、 智 能 医疗 、 
智能 农业 、 智 能 环保 、 公 共 安 全 等 多 个 领域 ， 这 些 应 用 的 发 展 将 带动 相关 设备 、 基 础 设施 
和 系统 集成 产业 的 规模 发 展 。 以 “十 三 五 ”期 间 规划 物 联网 发 展 的 几 个 重点 行业 领域 为 例 ， 
可 以 看 到 每 个 领域 都 涉及 庞大 的 市 场 规模 ， 充 满 了 发 展 机 遇 。 

1. 智能 家 居 

近 几 年 来 ， 随 着 经 济 的 快速 发 展 和 人 们 生活 水 平 的 不 断 提高 ， 智 能 家 居 和 安防 行业 得 
到 了 长 足 的 发 展 ， 今 后 更 有 加 大 步伐 的 趋势 ， 特 别 是 智能 家 居 、 安 防 系统 的 出 现 ， 让 门禁 
识别 远程 监控 报警 感应 视频 监控 、 信 息 家 电 、 灯 光 、 燃 气 、 烟 雾 、 电 力 控制 等 系统 通过 网 
络 无 颖 整合 对 接 ， 实 现 远程 智能 控制 ， 并 将 逐步 进入 寻常 百姓 家 庭 ， 成 为 家 庭 卫 士 。 御 能 
家 居 走 进 百姓 生活 ， 让 民众 的 生活 品质 不 断 提高 。 另 外 ， 它 在 众多 的 城市 安全 、 场 馆 安防 
等 城市 公共 安防 、 工 业 安防 、 视 频 监控 、 交 通 监 控 、 小 区 安防 等 领域 的 需求 更 加 旺盛 。 

2. 智能 物流 

面向 物流 企业 运输 管理 的 “e 物流 ”系统 ， 就 是 运用 了 物 联网 技术 ， 为 用 户 提供 实时 准 
确 的 货物 信息 、 车 辆 跟踪 定位 、 运 输 路 径 选择 、 物 流 网 络 设计 与 优化 等 服务 ， 大 大 提升 物 
流 企业 的 竞争 能 力 。 

3. 智能 电网 


智能 电网 ， 就 是 利用 传感器 、 媒 入 式 处 理 器 、 数 字 化 通信 和 IT， 构 建 具 备 智 能 判断 与 
自 适 应 调节 能 力 的 多 种 能 源 统一 入 网 和 分 布 式 管理 的 智能 化 网 络 系统 ， 可 对 电网 与 客户 用 
电信 息 进行 实时 监控 和 采集 ， 且 采用 最 经 济 与 最 安全 的 输 配 电 方式 将 电能 输送 给 终端 用 户 ， 
实现 对 电能 的 最 优 配置 与 利用 ， 提 高 电网 运行 的 可 靠 性 和 能 源 利 用 效率 。 

智能 电网 是 物 联网 第 一 重要 的 运用 ， 包 括 很 多 电信 企业 开展 的 “无 线 抄 表 ”应 用 ， 其 
实 也 是 物 联网 应 用 的 一 种 。 对 于 物 联网 产业 甚至 整个 信息 通信 产业 的 发 展 而 言 ， 电 网 智能 
化 将 产生 强大 的 驱动 力 ， 并 将 深刻 影响 和 有 力 推动 其 他 行业 的 物 联网 应 用 。 


4. 智能 交通 


所 请 智能 交通 ， 就 是 利用 先进 的 通信 、 计 算 机 、 自 动 控制 、 传 感 器 技术 ， 实 现 对 交通 
的 实时 控制 与 指挥 管理 。 交 通 智 能 化 是 解决 交通 拥堵 、 提 高 行车 安全 、 提 升 运行 效率 的 重 
要 途径 。 我 国 交通 问题 的 重点 和 难点 是 城市 道路 拥堵 。 在 道路 建设 跟 不 上 汽车 增长 的 情况 
下 ， 对 车 辆 进行 智能 化 管理 和 调配 ， 就 成 为 解决 拥堵 问题 的 主要 技术 手段 。 目 前 ， 全 国 已 
经 有 20 多 个 省 区 市 实现 公路 联网 监控 、 交 通 事故 检测 、 路 况 气象 等 应 用 ， 路 网 检测 信息 采 
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集 设 备 的 设置 密度 在 逐步 加 大 ， 有 些 高 速 公 路 实现 了 全 程 监控 ， 并 可 以 对 长 途 客运 、 危 险 
货物 运输 车 辆 进行 动态 监管 。21 世纪 将 是 公路 交通 智能 化 的 世纪 ， 人 们 将 要 采用 的 智能 交 
通 系统 ， 是 一 种 先进 的 一 体 化 交通 综合 管理 系统 。 在 该 系统 中 ， 车 辆 靠 自己 的 智能 在 道路 
上 自由 行驶 ， 公 路 靠 自身 的 智能 将 交通 流量 调整 至 最 佳 状态 ， 借 助 于 这 个 系统 ， 管 理 人 员 
对 道路 、 车 辆 的 行踪 将 掌握 得 一 清二 楚 。 

5. 智能 医疗 


智能 医疗 主要 体现 于 医药 产品 、 医 药 器 械 、 血 液 和 医疗 废弃 物 的 电子 化 管理 ， 远 程 医 
疗 信息 平台 。 将 物 联网 技术 应 用 于 医疗 健康 领域 ， 可 以 解决 医疗 资源 紧张 、 医 疗 费用 高 昂 、 
人 口 老 龄 化 压力 等 各 种 问题 。 例 如 ， 借 助 实用 的 医疗 传 感 设备 ， 可 以 实时 地 感知 、 处 理 和 
分 析 重大 医疗 事件 ， 从 而 快速 、 有 效 地 做 出 响应 ; 乡村 卫生 所 、 乡 镇 医院 和 社区 医院 可 以 
无 颖 地 连接 到 中 心 医 院 ， 从 而 实时 获取 专家 的 建议 、 安 排 转 诊 和 接受 培训 ， 通 过 联网 整合 
并 且 共享 各 个 医疗 单位 的 医疗 信息 记录 ， 从 而 构建 一 个 综合 的 专业 医疗 网 络 。 

6. 智能 农业 


智能 农业 包括 农业 生态 环境 监测 、 农 业 生产 精细 化 管理 和 农产品 与 食品 安全 溯源 。 物 
联网 的 发 展 ， 将 带动 结构 调整 和 产业 升级 ， 为 新 兴 产 业 的 腾飞 装载 上 发 动机 ， 其 中 也 蕴藏 
着 良好 的 市 场 前 景 和 巨大 的 投资 机 会 。 


7. 智能 环保 

随 着 经 济 的 发 展 ， 人 们 对 生活 质量 和 环境 的 要 求 越 来 越 高 ， 为 了 提高 环境 监测 和 管理 
水 平 ， 环 保 部 门 可 以 建设 基于 物 联网 的 智能 环保 通信 系统 。 通 过 建设 ， 形 成 一 个 覆盖 全 区 
的 环境 自动 监测 信息 采集 网 络 ， 实 现 对 重点 排污 单位 防治 设施 运行 状态 、 主 要 污染 物 排放 
检测 数据 的 自动 传输 和 预警 ， 实 现 重点 流域 水 环境 质量 、 重 点 城市 环境 空气 质量 自动 监测 
数据 实时 传输 。 通 过 建设 一 个 环境 分 析 系 统 和 交互 式 的 环境 监测 、 环 境 保护 的 动态 信息 发 
布 平台 ， 向 政府 、 公 众 发 布 环境 信息 ， 实 现 集 环境 监测 的 智能 感知 、 智 能 处 理 和 综合 管理 
于 一 体 ， 推 进 污 染 减 排 和 环境 保护 ， 实 现 环 境 与 人 、 经 济 乃 至 整个 社会 的 协调 发 展 ， 促 进 
环境 改善 。 

8. 公共 安全 

公共 安全 问题 是 社会 关注 的 问题 。 我 们 可 以 利用 物 联网 开发 出 高 度 智能 化 的 安全 防范 
产品 或 系统 ， 进 行 智能 分 析 、 判 断 及 控制 ， 最 大 限度 地 降低 因 传感器 问题 及 外 部 干扰 造成 
的 误 报 ， 并 且 能 够 实现 高 精度 定位 ， 完 成 由 面 到 点 的 实体 防御 与 精确 打击 ， 进 行 高 智能 化 
的 人 机 对 话 等 功能 ， 弥 补 传统 安全 系统 的 缺陷 ， 确 保 人 民 的 生命 财产 安全 。 此 外 ， 物 联网 
也 可 以 用 于 烟花 爆竹 销售 点 监测 、 危 险 品 运输 车 辆 监管 、 火 灾 事 故 监控 、 气 候 灾害 预警 、 
智能 城管 、 平 安 城市 建设 ; 可 以 用 于 对 残障 人 员 、 弱 势 群体 老人、 儿童 等 )、 宠 物 进行 跟 
踪 定位 ， 防 止 走 失 等 ， 还 可 以 用 于 井盖 、 变 压 器 等 公共 财产 的 跟踪 定位 ， 防 止 公共 财产 的 
丢失 

综 上 所 述 ， 物 联网 遍及 智能 交通 、 环 保 、 公 共 安 全 、 智 能 消防 、 工 业 监测 、 卫 生 医 疗 、 
食品 、 敌 情 侦 察 和 情报 搜集 等 多 个 行业 领域 。 但 是 ， 物 联网 虽然 已 经 起 步 并 取得 一 定 的 发 
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集 设 备 的 设置 密度 在 逐步 加 大 ， 有 些 高 速 公 路 实现 了 全 程 监控 ， 并 可 以 对 长 途 客运 、 危 险 
货物 运输 车 辆 进行 动态 监管 。21 世纪 将 是 公路 交通 智能 化 的 世纪 ， 人 们 将 要 采用 的 智能 交 
通 系统 ， 是 一 种 先进 的 一 体 化 交通 综合 管理 系统 。 在 该 系统 中 ， 车 辆 靠 自己 的 智能 在 道路 
上 自由 行驶 ， 公 路 靠 自身 的 智能 将 交通 流量 调整 至 最 佳 状态 ， 借 助 于 这 个 系统 ， 管 理 人 员 
对 道路 、 车 辆 的 行踪 将 掌握 得 一 清二 楚 。 

5. 智能 医疗 


智能 医疗 主要 体现 于 医药 产品 、 医 药 器 械 、 血 液 和 医疗 废弃 物 的 电子 化 管理 ， 远 程 医 
疗 信息 平台 。 将 物 联网 技术 应 用 于 医疗 健康 领域 ， 可 以 解决 医疗 资源 紧张 、 医 疗 费用 高 昂 、 
人 口 老 龄 化 压力 等 各 种 问题 。 例 如 ， 借 助 实用 的 医疗 传 感 设备 ， 可 以 实时 地 感知 、 处 理 和 
分 析 重大 医疗 事件 ， 从 而 快速 、 有 效 地 做 出 响应 ; 乡村 卫生 所 、 乡 镇 医院 和 社区 医院 可 以 
无 颖 地 连接 到 中 心 医 院 ， 从 而 实时 获取 专家 的 建议 、 安 排 转 诊 和 接受 培训 ， 通 过 联网 整合 
并 且 共享 各 个 医疗 单位 的 医疗 信息 记录 ， 从 而 构建 一 个 综合 的 专业 医疗 网 络 。 

6. 智能 农业 


智能 农业 包括 农业 生态 环境 监测 、 农 业 生产 精细 化 管理 和 农产品 与 食品 安全 溯源 。 物 
联网 的 发 展 ， 将 带动 结构 调整 和 产业 升级 ， 为 新 兴 产 业 的 腾飞 装载 上 发 动机 ， 其 中 也 蕴藏 
着 良好 的 市 场 前 景 和 巨大 的 投资 机 会 。 


7. 智能 环保 

随 着 经 济 的 发 展 ， 人 们 对 生活 质量 和 环境 的 要 求 越 来 越 高 ， 为 了 提高 环境 监测 和 管理 
水 平 ， 环 保 部 门 可 以 建设 基于 物 联网 的 智能 环保 通信 系统 。 通 过 建设 ， 形 成 一 个 覆盖 全 区 
的 环境 自动 监测 信息 采集 网 络 ， 实 现 对 重点 排污 单位 防治 设施 运行 状态 、 主 要 污染 物 排放 
检测 数据 的 自动 传输 和 预警 ， 实 现 重点 流域 水 环境 质量 、 重 点 城市 环境 空气 质量 自动 监测 
数据 实时 传输 。 通 过 建设 一 个 环境 分 析 系 统 和 交互 式 的 环境 监测 、 环 境 保护 的 动态 信息 发 
布 平台 ， 向 政府 、 公 众 发 布 环境 信息 ， 实 现 集 环境 监测 的 智能 感知 、 智 能 处 理 和 综合 管理 
于 一 体 ， 推 进 污 染 减 排 和 环境 保护 ， 实 现 环 境 与 人 、 经 济 乃 至 整个 社会 的 协调 发 展 ， 促 进 
环境 改善 。 

8. 公共 安全 

公共 安全 问题 是 社会 关注 的 问题 。 我 们 可 以 利用 物 联网 开发 出 高 度 智能 化 的 安全 防范 
产品 或 系统 ， 进 行 智能 分 析 、 判 断 及 控制 ， 最 大 限度 地 降低 因 传感器 问题 及 外 部 干扰 造成 
的 误 报 ， 并 且 能 够 实现 高 精度 定位 ， 完 成 由 面 到 点 的 实体 防御 与 精确 打击 ， 进 行 高 智能 化 
的 人 机 对 话 等 功能 ， 弥 补 传统 安全 系统 的 缺陷 ， 确 保 人 民 的 生命 财产 安全 。 此 外 ， 物 联网 
也 可 以 用 于 烟花 爆竹 销售 点 监测 、 危 险 品 运输 车 辆 监管 、 火 灾 事 故 监控 、 气 候 灾害 预警 、 
智能 城管 、 平 安 城市 建设 ; 可 以 用 于 对 残障 人 员 、 弱 势 群体 老人、 儿童 等 )、 宠 物 进行 跟 
踪 定位 ， 防 止 走 失 等 ， 还 可 以 用 于 井盖 、 变 压 器 等 公共 财产 的 跟踪 定位 ， 防 止 公共 财产 的 
丢失 

综 上 所 述 ， 物 联网 遍及 智能 交通 、 环 保 、 公 共 安 全 、 智 能 消防 、 工 业 监测 、 卫 生 医 疗 、 
食品 、 敌 情 侦 察 和 情报 搜集 等 多 个 行业 领域 。 但 是 ， 物 联网 虽然 已 经 起 步 并 取得 一 定 的 发 
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展 ， 但 未 来 必 将 接受 严峻 的 挑战 ， 就 像 互联 网 发 展 时 会 出 现 互联 网 泡沫 一 样 ， 物 联网 的 发 
展 之 路 必定 也 不 会 一 帆 风 顺 。 但 是 物 联网 时 代 的 到 来 是 大 势 所 趋 ， 未 来 将 出 现 一 系列 物 联 
网 产品 和 服务 。 


1.1.3” 物 联网 的 体系 结构 


目前 ， 公 认 的 物 联网 的 体系 结构 分 为 三 个 层次 ， 分 别 是 感知 层 、 网 络 层 (包括 接 入 网 络 ) 
和 应 用 层 (包括 信息 、 处 理 、 云 计算 等 平台 )。 如 图 1-1 所 示 为 业界 常用 的 物 联网 体系 结构 。 
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图 1-1 物 联网 体系 结构 
1. 感知 层 


物 联 网 感知 层 的 主要 设备 包含 各 种 传感器 、RFID、 智 能 终端 等 ， 这 些 设 备 的 主要 功能 
是 完成 用 户 或 者 系统 所 需 数据 的 采集 以 及 提取 。 传 感 器 网 络 中 常 采用 的 一 个 簇 结构 是 各 个 
传感器 间 采 用 自 组 网 的 方式 相互 连接 ， 并 通过 接 入 网 关连 接 到 互联 网 上 ; RFID 技术 又 称 为 
射频 标签 ， 即 带 有 存储 器 的 电子 标签 , 它 主要 是 通过 射频 的 方式 将 RFID 中 的 信息 传递 给 所 
需 信 息 的 载体 或 客户 ， 而 这 种 信息 的 传递 主要 是 通过 射频 间 的 通信 完成 的 ， 智 能 终端 主要 
包括 智能 手机 、PDA、iPad 等 具有 智能 系统 同时 又 带 有 无 线 射频 的 通信 设备 ， 用 户 可 以 通 
过 移动 网 络 厂商 将 数据 或 者 信息 远程 传送 到 指定 的 Server( 服 务 器 )。 另 外 ，M2M 的 终端 设 
备 、 智 能 物体 都 可 视 为 感知 层 中 的 物体 。 感 知 层 是 物 联 网 信息 和 数据 的 来 源 。 


2. 网 络 层 


物 联网 网 络 层 又 称 为 传输 层 ， 该 层 的 主要 功能 是 完成 数据 与 信息 的 传递 。 常 见 的 接 入 
技术 包括 有 线 接 入 以 及 无 线 接 入 : 有 线 接 入 技术 已 经 十 分 成 熟 ， 该 接 入 技术 以 其 高 稳定 性 
被 应 用 于 日 常生 活 中 ; 而 无 线 接 入 技术 由 于 其 低廉 的 部 署 价格 以 及 接 入 的 便捷 性 ， 在 业界 
十 分 活跃 。 网 络 层 也 可 以 分 为 接 入 网 、 核 心 网 以 及 服务 端 系统 ( 云 计 算 平台 、 信 息 网 络 中 心 、 
数据 中 心 等 )。 接 入 网 可 以 是 无 线 近 距离 接 入 ， 如 无 线 局 域 网 、ZigBee、BlueTooth( 蓝 牙 )、 
红外 ; 也 可 以 是 无 线 远 距离 接 入 ， 如 移动 通信 网 络 3G/4G/4G+、WiMAX 等 ; 还 可 能 为 其 他 
接 入 形式 ， 如 有 线 网 络 接 入 (PSTN、ADSL、 宽 带 )、 有 线 电视 、 现 场 总 线 、 卫 星 通信 等 。 网 
络 层 的 核心 网 通常 是 IPv6(IPv4) 网 络 。 网 络 层 是 物 联网 信息 和 数据 的 传输 层 ， 此 外 ， 网 络 
也 包括 信息 存储 查询 、 网 络 管理 等 功能 。 云 计算 平台 作为 海量 感知 数据 的 存储 、 分 析 平 台 ， 
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是 物 联网 网 络 层 的 重要 组 成 部 分 ， 也 是 应 用 层 众 多 应 用 的 基础 。 云 计算 技术 的 兴起 ， 为 互 
联网 用 户 提 供 了 更 为 方便 快捷 的 信息 传递 方式 。 总 之 ， 物 联网 技术 中 网 络 接 入 层 的 主要 任 
务 就 是 完成 用 户 或 者 系统 对 感知 层 数 据 以 及 信息 的 获取 。 


3. 应 用 层 


物 联 网 应 用 层 主要 实现 用 户 根据 不 同 的 感知 数据 做 出 不 同 的 反应 。 当 前 市 场 上 兴起 的 
云 电 视 、 智 能 家 居 、 智 能 医疗 系统 等 都 是 物 联 网 技术 的 广泛 应 用 。 物 联网 应 用 层 的 主要 作 
用 就 是 对 感知 层 获 取 数 据 信息 的 应 用 。 应 用 层 对 物 联网 信息 和 数据 进行 融合 、 处 理 和 利用 ， 
这 也 是 物 联网 发 展 的 目的 。 

总 之 ， 物 联网 体系 结构 的 各 层 之 间 ， 信 息 不 是 单 向 传递 的 ， 也 有 交互 、 控 制 等 ， 所 传 
递 的 信息 多 种 多 样 ， 这 其 中 关键 是 物品 的 信息 ， 包 括 在 特定 应 用 系统 范围 内 能 唯一 标识 物 
品 的 识别 码 和 物品 的 静态 与 动态 信息 。 


1.2 ” 物 联网 关键 技术 


物 联网 涉及 的 新 技术 很 多 ， 其 中 的 关键 技术 主要 有 射频 识别 技术 、 传 感 器 技术 、 网 络 
通信 技术 和 云 计算 (传输 数据 计算 ) 等 。 


1.2.1 射频 识别 技术 


射频 识别 技术 ， 俗 称 “ 电 子 标签 ”， 是 物 联网 中 非常 重要 的 技术 ， 是 实现 物 联网 的 基 
础 与 核心 。 射 频 技 术 是 一 项 利用 射频 信号 通过 空间 耦合 ( 交 变 磁场 或 电磁 场 ) 实 现 无 接触 信息 
传递 并 通过 所 传递 的 信息 达到 识别 目的 的 技术 。 这 一 技术 由 三 个 部 分 构成 : 标签 (Tag)， 
附着 在 物体 上 以 标识 目标 对 象 ，@@ 阅 读 器 (ReadeD， 用 来 读 取 ( 有 时 还 可 以 写 入 ) 标 签 信息 
既 可 以 是 固定 的 也 可 以 是 移动 的 ，@ 天 线 (Antenna)， 其 作用 是 在 标签 和 阅读 器 之 间 传 递 射 
频 信 号 。 当 然 ， 在 实际 应 用 中 还 需要 其 他 硬件 和 软件 的 支持 。 

射频 识别 技术 的 基本 思想 是 , 通过 先进 的 技术 手段 , 实现 人 们 对 各 类 物体 或 设备 (人 员 、 
物品 ) 在 不 同 状态 (移动 、 静 止 或 恶劣 环境 ) 下 的 自动 识别 和 管理 。 由 于 射频 识别 无 须 人 工 干 
预 ， 可 使 用 于 各 种 恶劣 环境 ， 可 用 来 追踪 和 管理 几乎 所 有 物理 对 象 ， 所 以 零售 商 和 制造 商 
非常 关心 和 支持 这 项 技术 的 发 展 和 应 用 。 比 如 ， 沃 尔 玛 公司 就 成 功 地 将 射频 技术 应 用 于 供 
应 链 管 理 中 ， 高 速 公路 的 自动 收费 系统 更 是 这 项 技术 的 最 成 功 应 用 之 一 。 

射频 技术 发 展 面临 的 主要 问题 和 难点 是 : 外 射频 识别 的 碰撞 防 冲突 问题 @ 射 频 天 线 
研究 ，@ 工 作 频率 的 选择 ，@ 安 全 与 隐私 问题 。 


1.2.2 ”传感器 技术 


要 产生 真正 有 价值 的 信息 ， 仅 有 射频 识别 技术 是 不 够 的 ， 还 需要 传 感 技术 。 由 于 物 联 
网 通常 处 于 自然 环境 中 ， 传 感 器 要 长 期 经 受 恶劣 环境 的 考验 ， 因 此 ， 物 联网 对 传感器 技术 
提出 了 更 高 的 要 求 。 

作为 摄取 信息 的 关键 器 件 ， 传 感 器 是 现代 信息 系统 和 各 种 装备 不 可 缺少 的 信息 采集 手 
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段 。 如 果 把 计算 机 看 作 是 处 理 和 识别 信息 的 大 脑 ， 把 通信 系统 看 作 是 传递 信息 的 “神经 ” 
系统 ， 则 传感器 就 是 感觉 器 官 。 所 谓 传 感 器 ， 是 指 那些 对 被 测 对 象 的 某 一 确定 的 信息 具有 
感受 (或 响应 ) 与 检 出 功能 , 并 使 之 按照 一 定 规律 转换 成 与 之 对 应 的 可 输出 信号 的 元 器 件 或 装 
置 。 离 开 了 传感器 对 被 测 的 原始 信息 进行 准确 可 靠 的 捕获 和 转换 ， 一 切 准确 的 测试 与 控制 
都 将 无 法 实现 。 即 使 是 最 现代 化 的 电子 计算 机 ， 假 如 没有 准确 的 信息 (或 转换 可 靠 的 数据 ) 
和 不 失真 的 输入 ， 也 将 无 法 充分 发 挥 其 应 有 的 作用 。 

传感器 技术 的 发 展 与 突破 主要 体现 在 两 个 方面 : 中 感知 信息 方面 ，@ 传 感 器 自身 的 智 
能 化 和 网 络 化 。 

未 来 传感器 技术 的 发 展 趋势 大 致 分 为 以 下 几 个 方面 。 

(1) 向 检测 范围 挑战 。 

(2) 集成 化 ， 多 功能 化 。 

(3) 向 未 开发 的 领域 挑战 一 一 生物 传感器 。 

(4) 传 感 技术 、 智 者 为 尊 一 一 智能 传感器 (Smart Sensor)。 

(5) 发 现 和 利用 新 材料 。 

传感器 技术 是 一 门 综合 的 高 新 技术 ， 它 集 光 、 机 、 电 、 生 物 医 学 于 一 身 。 可 以 毫 不 夸 
张 地 说 ， 传 感 器 技术 的 水 平 从 一 个 侧面 反映 了 微 电 子 技术 、MEMS、 纳 米 技术 、 光 电子 技 
术 、 生 物 技术 等 高 新 技术 的 水 平 。 


1.2.3 网络 通信 技术 


无 论 物 联 网 的 概念 如 何 扩展 和 延伸 ， 其 最 基础 的 物 物 之 间 的 感知 和 通信 是 不 可 替代 的 
关键 技术 。 网 络 通信 技术 包括 各 种 有 线 和 无 线 传输 技术 、 交 换 技术 、 组 网 技术 、 网 关 技 术 等 。 

其 中 M2M 技术 则 是 物 联网 实现 的 关键 .M2M 技术 是 机 器 对 机 器 (Machine To Machine) 
通信 的 简称 ， 指 所 有 实现 人 人、 机器、 系统 之 间 建 立 通信 连接 的 技术 和 手段 ， 同 时 也 可 代表 
人 对 机 器 (Man To Machine)、 机 器 对 人 (Machine To Man)、 移 动 网 络 对 机 器 (Mobile To 
Machine) 之 间 的 连接 与 通信 。M2M 技术 适用 范围 广泛 ， 可 以 结合 GSM/GPRS/UMTS 等 远 
距离 连接 技术 ,也 可 以 结合 Wi-Fi、BlueTooth、Zigbee、RFID 和 UWB 等 近 距 离 连接 技术 
此 外 还 可 以 结合 XML 和 Corba， 以 及 基于 GPS、 无 线 终端 和 网 络 的 位 置 服务 技术 等 ， 用 于 
安全 监测 、 自 动 售 货机 、 货 物 跟踪 领域 。 目 前 ，M2M 技术 的 重点 在 于 机 器 对 机 器 的 无 线 通 
信 ， 而 将 来 的 应 用 则 遍及 军事 、 人 金融、 交通、 气象、 电力、 水利、 石油、 煤矿、 工控 、 零 
售 、 医 疗 、 公 共事 业 管理 等 各 个 行业 。 短 距离 无 线 通信 技术 的 发 展 和 完善 ， 使 得 物 联 网 前 
端的 信息 通信 有 了 技术 上 的 可 靠 保 证 。 

通信 网 络 技术 为 物 联网 数据 提供 传送 通道 ， 如 何在 现 有 网 络 上 进行 增强 ， 适 应 物 联网 
业务 的 需求 ( 低 数据 率 、 低 移动 性 等 ), 是 该 技术 研究 的 重点 。 物 联网 的 发 展 离 不 开通 信 网 络 ， 
更 宽 、 更 快 、 更 优 的 下 一 代 宽带 网 络 将 为 物 联网 发 展 提供 更 有 力 的 支撑 ， 也 将 为 物 联网 应 
用 带 来 更 多 的 可 能 。 


1.2.4 云 计算 
云 计算 (Cloud Computing) 是 网 格 计算 、 分 布 式 计算 、 并 行 计算 、 效 用 计算 、 网 络 存储 、 
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虚拟 化 、 负 载 均衡 等 传统 计算 机 技术 和 网 络 技术 发 展 融 合 的 产物 。 云 计算 的 基本 原理 是 : 
通过 使 计算 分 布 在 大 量 的 分 布 式 计算 机 上 ， 而 非 本 地 计算 机 或 远程 服务 器 中 ， 企 业 数 据 中 
心 的 运行 将 与 互联 网 更 加 相似 。 这 使 得 企业 能 够 将 资源 切换 到 需要 的 应 用 上 ， 根 据 需求 访 
问 计算 机 和 存储 系统 。 它 旨 在 通过 网 络 把 多 个 成 本 相对 较 低 的 计算 实体 整合 成 一 个 具有 强 
大 计算 能 力 的 完美 系统 ， 并 借助 SaaS、PaaS、IaaS、MSP 等 先进 的 商业 模式 把 这 强大 的 计 
算 能 力 分 布 到 终端 用 户 手中 。 

云 计 算 的 一 个 核心 理念 就 是 通过 不 断 提 高 “ 云 ” 的 处 理 能 力 ， 减 少 用 户 终 端的 处 理 负 
担 ， 最 终 使 用 户 终端 简化 成 一 个 单纯 的 输入 输出 设备 ， 并 能 按 需 享 受 “ 云 ”的 强大 计算 处 
理 能 力 。Google 搜索 引擎 是 云 计算 的 成 功 应 用 之 一 。 


1.3 物 联 网 安全 问题 概述 


物 联 网 的 关键 在 于 应 用 ， 物 联网 应 用 将 深入 所 有 人 生活 的 方方面面 。 物 联网 应 用 中 所 
临 的 安全 威胁 以 及 安全 事故 所 造成 的 后 果 ， 将 比 互 联网 时 代 严 重 得 多 。 物 联网 安全 呈现 
大 众 化 、 平 民 化 特征 ， 安 全 事故 的 危害 和 影响 巨大 。 物 联网 应 用 中 各 处 都 需要 安全 ， 安 全 
措施 与 成 本 的 矛盾 十 分 突出 。 物 联网 安全 ， 还 必须 改变 先 系 统 后 安全 的 思路 ， 在 物 联网 应 
用 设计 和 实施 之 初 ， 就 必须 同时 考虑 应 用 和 安全 ， 将 两 者 从 一 开始 就 紧密 结合 ， 系 统 地 考 
虑 感知 、 网 络 和 应 用 的 安全 ， 才 能 更 好 地 解决 各 种 物 联网 安全 问题 ， 应 对 物 联网 安全 的 新 
挑战 。 下 面 从 五 个 方面 阐述 物 联网 信息 安全 的 问题 。 


1.3.1 物 联 网 安全 特征 


与 传统 网 络 相 比 ， 物 联网 发 展 带 来 的 安全 问题 将 更 为 突出 ， 所 以 要 强化 安全 意识 ， 把 
安全 放 在 首位 ， 超 前 研究 物 联网 产业 发 展 可 能 带 来 的 安全 问题 。 物 联网 安全 除了 要 解决 系 
统 信息 安全 的 问题 之 外 ， 还 需要 克服 成 本 、 复 杂 性 等 新 的 挑战 。 物 联网 安全 面临 的 新 挑战 
主要 包括 需求 与 成 本 的 矛盾 ， 安 全 复杂 性 进一步 加 大 ， 信 息 技术 发 展 本 身 带 来 的 问题 ， 以 
及 物 联 网 系统 攻击 的 复杂 性 和 动态 性 仍 较 难 把 握 等 方面 。 总 体 来 说 ， 物 联网 安全 的 主要 特 
点 表现 在 四 个 方面 : 大 众 化 、 轻 量 级 、 非 对 称 和 复杂 性 。 

(1) 大 众 化 。 物 联网 时 代 ， 当 每 个 人 习惯 于 使 用 网 络 处 理 生活 中 的 所 有 事情 的 时 候 ， 
当 你 习惯 于 网 上 购物 、 网 上 办 公 的 时 候 ， 信 息 安全 就 与 你 的 日 常生 活 紧 密 地 结合 在 一 起 了 
不 再 是 可 有 可 无 的 了 。 如 果 物 联网 时 代 出 现 了 安全 问题 ， 那 么 每 个 人 都 将 面临 重大 损失 。 
只 有 当 安 全 与 人 们 的 利益 相关 的 时 候 ， 所 有 人 才 会 重视 安全 ， 也 就 是 所 谓 的 “大 众 化 ”。 

(2) 轻 量 级 。 物 联网 中 需要 解决 的 安全 威胁 数量 庞大 ， 并 且 与 人 们 的 生活 密切 相关 。 
物 联 网 安全 必须 是 轻 量 级 、 低 成 本 的 安全 解决 方案 。 只 有 这 种 轻 量 级 的 思路 ， 普 通 大 众 才 
可 能 接受 。 轻 量 级 解决 方案 正 是 物 联 网 安全 的 一 大 难点 ， 安 全 措施 的 效果 必须 要 好 ， 同 时 
要 低 成 本 ， 这 样 的 需求 可 能 会 催生 出 一 系列 的 安全 新 技术 。 

(3) 非 对 称 。 物 联网 中 ， 各 个 网 络 边缘 的 感知 节点 的 能 力 较 弱 ， 但 是 其 数量 庞大 ， 而 
网 络 中心 的 信息 处 理 系统 的 计算 处 理 能 力 非常 强 ， 整 个 网 络 呈现 出 非 对 称 的 特点 。 物 联网 
安全 在 面向 这 种 非 对 称 网 络 的 时 候 ， 需 要 将 能 力 弱 的 感知 节点 的 安全 处 理 能 力 与 网 络 中 心 
强 的 处 理 能 力 结合 起 来 ， 采 用 高 效 的 安全 管理 措施 ， 使 其 形成 综合 能 力 ， 从 而 能 够 整体 上 
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发 挥 出 安全 设备 的 效能 。 

(4) 复杂 性 。 物 联网 安全 十 分 复杂 ， 从 目前 可 认 知 的 观点 出 发 可 以 知道 ， 物 联网 安全 
所 面临 的 威胁 、 要 解决 的 安全 问题 、 所 采用 的 安全 技术 ,不仅 在 数量 上 比 互联 网 大 很 多 
而 且 还 可 能 出 现 互 联网 安全 所 没有 的 新 问题 和 新 技术 。 物 联网 安全 涉及 信息 感知 、 信 息 传 
输 和 信息 处 理 等 多 个 方面 ， 并 且 更 加 强调 用 户 隐私 。 物 联网 安全 各 个 层面 的 安全 技术 都 需 
要 综合 考虑 ， 系 统 的 复杂 性 将 是 一 大 挑战 ， 同 时 也 将 呈现 大 量 的 商机 。 


1.3.2 ” 物 联 网 安全 现状 


目前 ， 国 内 外 学 者 针对 物 联 网 的 安全 问题 开展 了 相关 研究 ， 在 物 联网 感知 、 传 输 和 处 
理 等 各 个 环节 均 开 展 了 相关 工作 ， 但 这 些 研 究 大 部 分 是 针对 物 联网 的 各 个 层次 的 ， 还 没有 
形成 完整 统一 的 物 联网 安全 体系 。 

在 感知 层 ， 感 知 设备 有 多 种 类 型 ， 为 确保 其 安全 性 ， 目 前 主要 是 进行 加 密 和 认证 工作 ， 
利用 认证 机 制 避免 标签 和 节点 被 非法 访问 。 感 知 层 加 密 已 经 有 了 一 定 的 技术 手段 ， 但 是 还 
需要 提高 安全 等 级 ， 以 应 对 更 高 的 安全 需求 。 

在 传输 层 ， 主 要 研究 节点 到 节点 的 机 密 性 ， 利 用 节点 与 节点 之 间 严 格 的 认证 ， 保 证 端 
到 端的 机 密 性 ， 利 用 密 钥 有 关 的 安全 协议 支持 数据 的 安全 传输 。 

在 应 用 层 ， 目 前 的 主要 研究 工作 是 数据 库 安全 访问 控制 技术 ， 但 还 需要 研究 其 他 的 一 
些 相 关 安 全 技术 ， 如 信息 保护 技术 、 信 息 取 证 技术 、 数 据 加 密 检索 技术 等 。 

在 物 联 网 安全 隐患 中 ， 用 户 隐 私 的 泄露 是 危害 用 户 的 极 大 安全 隐患 。 所 以 在 考虑 对 策 
时 ， 首 先 要 对 用 户 的 隐私 进行 保护 。 目 前 ， 主 要 用 加 密 和 授权 认证 等 方法 。 通 过 加 密 ， 只 
有 拥有 解密 密 钥 的 用 户 才能 读 取 通 信 中 的 用 户 数据 以 及 用 户 的 个 人 信息 ， 这 样 能 够 保证 传 
输 过 程 中 不 被 他 人 监听 。 但 是 ， 加 密 数据 的 使 用 变 得 极为 不 方便 ， 因 此 需要 研究 支持 密 文 
检索 和 运算 的 加 密 算法 。 

另外 ， 物 联网 核心 技术 掌握 在 世界 上 比较 发 达 的 国家 手中 ， 始 终 会 对 没有 掌握 物 联 网 
核心 技术 的 国家 造成 安全 威胁 。 所 以 ， 要 解决 物 联网 的 安全 隐患 ， 我 国 应 该 加 大 投入 力度 ， 
进一步 地 开发 研究 ， 攻 克 技 术 难 关 ， 争 取 早 日 掌握 物 联网 安全 的 核心 技术 。 


1.3.3” 物 联网 安全 威胁 


人 们 可 以 通过 物 联网 感知 各 方面 的 信息 ， 同 时 也 可 以 通过 物 联 网 实现 各 种 应 用 。 通 过 
互联 网 ， 人 们 可 以 远程 感知 和 控制 类 似 家 电 、 交 通 、 能 源 、 金 融 等 设施 和 服务 。 在 物 联网 
提供 这 些 便利 的 同时 ， 人 们 也 对 物 联网 的 强大 感到 担忧 。 物 联网 在 网 络 的 每 个 层次 上 都 存 
在 威胁 :感知 层 方面 有 终端 设备 的 物理 安全 、 信 息 的 传输 安全 、 隐 私 泄露 等 问题 ， 网 络 层 
方面 有 数据 破坏 、 身 份 假冒 及 信息 泄露 等 安全 问题 ， 应 用 层 方面 有 身份 假冒 、 非 法 接 入 、 
越权 操作 等 安全 问题 。 目 前 ， 国 内 外 对 物 联 网 体系 架构 的 研究 是 三 层 的 架构 体系 ， 即 应 用 
层 、 网 络 层 、 感 知 层 。 下 面 分 别 从 感知 层 、 网 络 层 和 应 用 层 对 其 面临 的 安全 威胁 进行 分 析 。 


1. 感知 层 安全 威胁 


如 果 感 知 节点 所 感知 的 信息 不 采取 安全 防护 或 者 安全 防护 的 强度 不 够 ， 则 这 些 信息 很 
可 能 被 第 三 方 非法 获取 ， 而 信息 泄密 某 些 时候 可 能 会 造成 很 大 的 危害 。 由 于 安全 防护 措施 
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的 成 本 因素 或 者 使 用 便利 性 等 因素 ， 很 可 能 某 些 感知 节点 不 会 或 者 采取 简单 的 信息 安全 防 
护 措施 ， 这 样 将 导致 大 量 的 信息 被 公开 传输 ， 其 结果 是 很 可 能 在 意 想 不 到 的 时 候 引起 严重 
后 果 。 感 知 层 普遍 的 安全 威胁 是 某 些 普通 节点 被 攻击 者 控制 之 后 ， 其 与 关键 节点 交互 的 所 
有 信息 都 将 被 攻击 者 获取 。 攻 击 者 的 目的 除了 窃听 信息 外 ， 还 可 能 通过 其 控制 的 感知 节点 
发 出 错误 信息 ， 从 而 影响 系统 的 正常 运行 。 感 知 层 安全 措施 必须 能 够 判断 和 阻 断 恶意 节点 ， 
并 且 还 需要 在 阻 断 恶意 节点 后 ， 保 障 感知 层 的 连通 性 。 


2. 网 络 层 安全 威胁 


物 联 网 网 络 层 的 网 络 环境 与 目前 的 互联 网 网 络 环境 一 样 ， 也 存在 安全 挑战 ， 并 且 由 于 
其 中 涉及 大 量 异 构 网 络 的 互联 互通 ， 跨 网 络 安全 域 的 安全 认证 等 方面 的 威胁 更 加 严重 。 网 
络 层 很 可 能 面临 非 授 权 节 点 非法 接 入 的 问题 ， 如 果 网 络 层 不 采取 网 络 接 入 控制 措施 ， 就 很 
可 能 被 非法 接 入 ， 其 结果 可 能 是 网 络 层 负担 加 重 或 者 传输 错误 信息 。 互 联网 或 者 下 一 代 网 
络 将 是 物 联网 网 络 层 的 核心 载体 ， 互 联网 遇 到 的 各 种 攻击 仍然 存在 ， 甚 至 更 多 ， 需 要 有 更 
好 的 安全 防护 措施 和 抗灾 机 制 。 物 联网 终端 设备 处 理 能 力 和 传统 网 络 的 能 力 差异 巨大 ， 应 
对 网 络 攻击 的 防护 能 力也 有 很 大 差别 ， 传 统 互联 网 安全 方案 难以 满足 需求 ， 并 且 也 很 难 采 
用 通用 的 安全 方案 解决 所 有 问题 ， 必 须 针 对 具体 需求 而 制定 多 种 安全 方案 。 


3. 应 用 层 安 全 威胁 


物 联网 应 用 层 涉及 方方面面 的 应 用 ， 智 能 化 是 重要 特征 。 智 能 化 应 用 能 够 很 好 地 处 理 
海量 数据 ， 满 足 使 用 需求 。 物 联网 会 把 海量 数据 智能 处 理 的 结果 转化 为 对 实体 的 智能 控制 ， 
所 以 安全 性 贯穿 于 数据 链 始 终 。 在 数据 智能 处 理 过 程 中 ， 需 要 涉及 并 行 计算 、 数 据 融合 、 
语义 分 析 、 数 据 挖 掘 、 云 计算 等 核心 技术 ， 其 中 云 计 算 尤 为 重要 ， 云 计算 承担 着 海量 数据 
的 高 效 存储 及 智能 计算 的 任务 。 这 些 新 兴 技 术 的 使 用 ， 会 给 攻击 者 提供 截取 、 自 改 数据 的 
机 会 ， 同 时 会 利用 软件 系统 的 漏洞 、 缺 陷 ， 并 对 密 钥 进行 破解 ， 达 到 非法 访问 数据 库 系 统 
的 目的 ， 造 成 重大 损失 。 

由 于 物 联网 应 用 中 会 涉及 大 量 的 个 人 隐私 ， 特 别 是 定位 技术 的 出 现 ， 使 得 公众 的 隐私 
安全 性 显得 尤为 突出 。 攻 击 者 会 利用 窃取 通信 数据 来 收集 相关 个 人 隐私 信息 (位 置 、 出 行 、 
消费 、 通 信 等 )， 给 公众 带 来 个 人 安全 和 财产 损失 的 隐患 。 攻 击 者 还 可 能 会 算 改 、 伪 造 信息 ， 
以 合法 身份 进行 不 法 行为 。 


1.3.4 物 联 网 安全 需求 


在 物 联 网 系统 中 ， 主 要 的 安全 威胁 来 自 以 下 几 个 方面 : 物 联网 传感器 节点 接 入 过 程 的 
安全 威胁 ， 物 联网 数据 传输 过 程 的 安全 威胁 ， 物 联网 数据 处 理 过 程 的 安全 威胁 ， 物 联网 应 
用 过 程 中 的 安全 威胁 等 。 这 些 威胁 是 全 方位 的 ， 有 些 来 自 物 联网 的 某 一 个 层次 ， 有 些 来 自 
物 联 网 的 多 个 层次 。 根 据 安全 威胁 的 来 源 与 途径 的 多 样 化 和 普遍 化 ， 我 们 可 以 将 物 联网 的 
安全 需求 归结 为 如 下 几 个 方面 : 物 联网 接 入 安全 、 物 联网 通信 安全 、 物 联网 数据 安全 和 物 
联网 应 用 系统 安全 。 


1. 物 联 网 接 入 安全 
在 接 入 安全 中 ， 感 知 层 的 接 入 安全 是 重点 。 一 个 感知 节点 不 能 被 未 经 过 认证 授权 的 节 
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点 或 系统 访问 。 这 涉及 感知 节点 的 信任 管理 、 身 份 认证 、 访 问 控制 等 方面 的 安全 需求 。 在 
感知 层 ， 由 于 传感器 节点 受到 能 量 和 功能 的 制约 ， 其 安全 保护 机 制 较 差 ， 并 且 由 于 传感器 
网 络 尚未 完全 实现 标准 化 ， 其 中 消息 和 数据 传输 协议 没有 统一 的 标准 ， 从 而 无 法 提供 一 个 
统一 完善 的 安全 保护 体系 。 因此， 传感器 网 络 除了 可 能 遭受 同 现 有 网 络 相同 的 安全 威胁 外 ， 
还 可 能 受到 恶意 节点 的 攻击 、 传 输 的 数据 被 监听 或 破坏 、 数 据 的 一 致 性 差 等 多 个 威胁 。 

2. 物 联网 通信 安全 


由 于 物 联网 中 的 通信 终端 呈 指 数 增长 ， 而 现 有 的 通信 网 络 承载 能 力 有 限 ， 当 大 量 的 网 
络 终端 节点 接 入 现 有 网 络 时 ， 将 会 给 通信 和 网络 带 来 更 多 的 安全 威胁 。 首 先 ， 大 颖 终端 节点 
的 接 入 肯定 会 带 来 网 络 拥塞 ， 而 网 络 拥塞 会 给 攻击 者 带 来 可 乘 之 机 ， 从 而 对 服务 器 产生 拒 
绝 服务 攻击 ;其 次 ， 由 于 物 联网 中 的 设备 传输 的 数据 量 较 小 ， 一 般 不 会 采用 复杂 的 加 密 算 
法 来 保护 数据 ， 从 而 可 能 导致 数据 在 传输 过 程 中 遭 到 攻击 和 破坏 ， 最 后 ， 感 知 层 和 网 络 层 
的 融合 也 会 带 来 一 些 安全 问题 。 另 外 ， 在 实际 应 用 中 ， 大 量 使 用 无 线 传输 技术 ， 而 且 大 多 
数 设备 都 处 于 无 人 值守 的 状态 ， 使 得 信息 安全 得 不 到 保障 ， 很 容易 被 窃取 和 恶意 跟踪 ;而 
隐私 信息 的 外 泄 和 恶意 跟踪 ， 给 用 户 带 来 了 极 大 的 安全 隐患 。 


3. 物 联网 数据 安全 


随 着 物 联网 的 发 展 和 普及 ， 数 据 呈 现 爆炸 式 增 长 ， 个 人 和 企业 追求 更 高 的 计算 性 能 ， 
软 、 硬 件 维护 费用 日 益 增加 ， 使 得 个 人 和 企业 的 设备 已 无 法 满足 需求 。 因 此 ， 云 计算 、 网 
格 计算 、 普 适 计算 等 应 运 而 生 。 虽 然 这 些 新 型 计算 模式 解决 了 个 人 和 企业 的 设备 需求 ， 但 
同时 也 使 他 们 承担 着 对 数据 失去 直接 控制 的 危险 。 因 此 ， 针 对 数据 处 理 中 的 外 包 数 据 的 安 
全 与 隐私 保护 技术 显得 尤为 重要 。 由 于 传统 的 加 密 算法 在 对 密 文 的 计算 、 检 索 方 面 表现 得 
差强人意 ， 研 究 可 以 在 密 文 状态 下 进行 检索 和 运算 的 加 密 算法 就 显得 十 分 必要 了 。 

另外 ， 物 联网 数据 处 理 过程 中 依托 的 服务 器 系统 ， 由 于 面临 病毒 、 木 马 等 恶意 软件 的 
攻击 ， 使 得 物 联 网 在 构建 数据 处 理 系统 时 需要 充分 考虑 安全 协议 的 使 用 、 防 火 墙 的 应 用 和 
病毒 查 杀 工 具 的 配置 等 。 物 联网 计算 系统 的 安全 除了 来 自 内 部 的 攻击 以 外 ， 还 可 能 面临 来 
自 网 络 的 外 包 攻 击 , 如 分 布 式 入 侵 攻击 (Distributed Denial of Service, DDoS) 和 高 级 持续 性 威 
胁 (Advanced Persistent Threat，APT) 攻 击 。 


4. 物 联网 应 用 系统 安全 

物 联 网 的 应 用 领域 非常 广泛 ， 渗 透 到 了 现实 生活 中 的 各 行 各 业 。 由 于 物 联网 本 身 的 特 
殊 性 ， 其 应 用 安全 问题 除了 现 有 网 络 应 用 中 常见 的 安全 威胁 外 ， 还 存在 更 为 特殊 的 应 用 安 
全 问题 。 在 物 联网 应 用 中 ， 除 了 传统 网 络 的 安全 需求 (如 认证 、 授 权 、 审 计 等 ) 外 ， 还 包括 物 
联网 应 用 数据 的 隐私 安全 需求 、 服 务 质 量 需求 和 应 用 部 署 安全 需求 等 。 


1.3.5” 物 联网 安全 标准 

物 联网 设备 安全 问题 突出 的 原因 有 很 多 ， 一 方面 是 这 类 设备 的 智能 化 、 网 络 化 发 展 束 
度 快 ， 另 一 方面 对 这 些 设备 的 信息 安全 保护 技术 发 展 不 够 成 熟 ， 没 有 安全 保护 和 检测 标准 ， 
因此 ， 当 前 的 现状 是 许多 物 联网 终端 设备 面临 很 大 的 网 络 安全 风险 。 
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在 电子 通信 和 领域， 许多 标准 规范 的 诞生 是 在 相关 技术 和 产业 基本 成 熟 后 ， 为 约束 小 众 、 
鼓励 互联 互通 而 形成 的 ， 是 一 种 水 到 渠 成 的 结果 。 例 如 TCP/P 通信 协议 标准 是 计算 机 数据 
通信 和 领域 的 行业 标准 ， 逐 步 成 为 默认 的 国际 标准 ， 导 致 后 来 国际 标准 化 组 织 提 出 的 OSI 标 
准 框架 模型 很 少 有 人 用 。 

随 着 物 联网 技术 和 产业 的 发 展 ， 物 联网 安全 问题 逐渐 成 为 影响 物 联网 产业 健康 发 展 的 
关键 瓶颈 ， 物 联网 安全 标准 不 能 等 待 行业 的 相关 技术 和 产品 成 熟 后 再 制定 ， 原 因 一 方面 是 
这 个 等 待 周期 会 很 长 ， 其 间 的 物 联网 安全 问题 会 对 物 联网 产业 发 展 有 严重 影响 ， 另 一 方面 ， 
行业 自行 发 展 的 物 联网 安全 技术 将 会 出 现 百花 齐 放 的 局 面 ， 一 段 时 间 后 很 难 区 分 好 与 坏 ， 
而 且 后 期 标准 的 出 台 可 能 影响 一 些 自身 的 安全 保护 技术 已 经 成 熟 的 物 联网 设备 ， 这 对 生产 
厂商 来 说 是 不 公平 的 。 因 此 ， 物 联网 安全 标准 应 该 尽早 制定 。 在 这 种 背景 下 ， 国 家 在 有 关 
机 构 的 组 织 下 ， 先 后 起 草 了 多 个 有 关 物 联网 安全 的 标准 规范 ， 这 些 标 准 草案 今后 对 物 联网 
设备 和 物 联网 系统 的 安全 保护 无 疑 将 起 到 重要 的 指导 作用 。 

随 着 物 联网 安全 标准 体系 的 发 展 与 完善 ， 一 些 新 的 标准 会 逐步 被 提出 。 为 了 防止 将 来 
在 标准 制定 方面 过 于 细 化 ， 本 文 指出 ， 物 联网 安全 标准 应 有 界限 ， 不 宜 覆 盖 太 多 的 技术 细 
节 ， 应 该 以 安全 性 能 为 标准 的 目的 ， 放 宽 对 功能 ( 即 安全 技术 ) 的 标准 化 要 求 。 


1. 物 联 网 安全 保护 技术 应 鼓励 个 性 化 


物 联网 安全 方面 的 标准 将 会 不 断 补充 完善 。 我 们 分 析 认 为 ， 对 安全 目标 、 测 评 方法 和 
测评 指标 等 可 以 按照 标准 统一 要 求 ， 但 对 于 安全 保护 方法 不 宜 标准 化 。 原 因 如 下 : 操作 系 
统 发 展 了 这 么 多 年 ， 功 能 已 经 非常 完善 ， 但 安全 漏洞 不 断 出 现 。 到 目前 为 止 ， 还 没有 哪个 
操作 系统 被 证 明 不 存在 安全 漏洞 。 一 旦 一 个 核心 安全 漏洞 被 攻击 者 发 现 并 利用 ， 就 能 被 用 
来 入 侵 系 统 ， 并 进一步 达到 攻击 破坏 的 目的 。 因 此 ， 一 个 系统 遭受 攻击 者 入 侵 的 风险 ， 不 
仅仅 依赖 于 该 系统 安全 保护 程度 ， 同 时 也 依赖 于 该 系统 受 攻击 者 关注 的 程度 。 如 果 物 联网 
设备 的 安全 技术 被 标准 化 ， 势 必 造 成 大 量 物 联 网 设备 具有 相同 的 安全 工作 机 制 ， 包 括 安 全 
参数 配置 、 密 码 算法 和 安全 协议 等 。 一 旦 攻击 者 通过 入 侵 系 统 获得 密 钥 信 息 ， 所 有 的 安全 
保护 对 攻击 者 来 说 将 失去 意义 ， 攻 击 者 也 可 以 发 送 “ 合 法 ”的 数据 ， 接 收 者 无 论 对 数据 保 
密 性 的 检测 还 是 完整 性 的 检测 都 能 顺利 通过 ， 因 为 攻击 者 入 侵 系 统 后 就 控制 了 一 个 合法 设 
备 。 更 危险 的 是 ， 如 果 攻 击 者 入 侵 到 后 台 管理 中 心 ， 不 仅 能 够 获取 大 量 数据 资源 ， 还 能 顺 
利 调 用 大 量 物 联 网 设备 资源 ， 参 与 到 其 非法 行为 中 去 。 

如 果 物 联网 设备 所 采取 的 安全 保护 技术 千差万别 ， 甚 至 一 些 设备 使 用 了 “私有 ”安全 
协议 ， 安 全 性 会 怎么 样 呢 ? 单 从 某 个 产品 来 说 ， 在 资源 受 限 环境 下 使 用 私有 安全 协议 ， 其 
安全 强度 几乎 毫 无 疑问 要 低 于 标准 安全 协议 。 但 是 ， 如 果 攻 击 者 对 此 不 感 兴趣 ， 则 仍然 是 
安全 的 。 这 种 情况 适合 “小 众 ” 产 品 。 一 旦 某 款 产 品 逐 步 走向 主流 产品 ， 其 安全 保护 技术 
一 定 要 有 专业 水 平 的 设计 ， 因 为 这 些 产品 更 能 引起 攻击 者 的 关注 。 

标准 密码 算法 和 标准 安全 协议 用 于 更 好 地 在 不 同 平台 互联 互通 。 但 对 物 联网 产品 来 说 ， 
很 多 情况 下 无 须 互联 互通 ， 只 需要 这 些 产 品 与 后 台数 据 处 理 中 心 相 互 之 间 能 进行 数据 传输 
和 处 理 ， 因 此 ， 适 合 使 用 标准 密码 算法 支持 下 的 私有 安全 协议 。 在 资源 受 限 的 物 联网 设备 
中 ， 可 能 无 法 通过 标准 安全 协议 实现 身份 鉴别 和 数据 安全 保护 ， 这 种 情况 下 非 标准 的 个 性 
化 安全 保护 技术 就 显得 非常 重要 。 

















[NN 川 川 加 


2. 个 性 化 的 物 联 网 设备 安全 保护 测评 标准 

如 果 物 联网 设备 使 用 了 非 标准 的 安全 协议 ， 管 理 方 如 何 监管 ? 如 何 进行 安全 测评 ? 我 
们 建议 从 如 下 两 个 方面 考虑 。 

(1) 考虑 多 大 规模 的 物 联网 设备 可 以 使 用 非 标准 安全 协议 ， 包 括 设备 制造 成 本 、 设 备 
总 体 数量 、 设 备 应 用 领域 的 关键 程度 等 。 允 许 一 定 范围 内 的 物 联网 产品 使 用 个 性 化 的 安全 
保护 技术 。 

(2) 对 数据 保密 性 和 完整 性 的 检测 ， 有 时 需要 从 保密 性 之 存在 性 和 完整 性 之 存在 性 广 
进行 检测 。 进 一 步 ， 数 据 完整 性 保护 格式 可 能 不 统一 ， 不 一 定 使 用 密码 杂凑 函数 ， 这 种 
情况 适合 使 用 渗透 性 测试 方法 。 目 前 ， 针 对 小 数据 保密 性 之 存在 性 的 测试 方法 和 对 数据 完 
整 性 之 存在 性 的 测试 方法 ， 在 技术 上 都 不 成 熟 ， 应 该 加 强 这 两 方面 的 技术 研究 。 个 性 化 非 
标准 安全 机 制 是 否 安全 ， 以 渗透 性 测试 方法 为 主 ， 这 种 测试 更 具有 通用 性 。 

3. 对 身份 鉴别 功能 进行 测评 

身份 鉴别 是 最 基本 的 安全 技术 之 一 ， 是 一 个 系统 通信 安全 的 核心 组 成 部 分 。 根 据 过 去 
的 网 络 欺骗 行为 ， 建 议 即 使 资源 受 限 的 物 联网 设备 ， 也 应 该 具有 双向 身份 鉴别 功能 。 这 种 
功能 要 求 能 提供 自身 身份 鉴别 的 证 据 ， 也 可 对 于 通信 的 其 他 设备 的 身份 进行 鉴别 。 

对 身份 鉴别 进行 测评 是 一 个 技术 问题 。 由 于 实现 身份 鉴别 的 方法 有 很 多 ， 要 求 用 于 测 
评 的 设备 实现 所 有 这 些 可 能 的 身份 鉴别 方法 是 不 现实 的 ， 因 此 实际 测评 时 应 采取 更 为 通用 
的 方法 。 

这 里 提出 一 种 渗透 性 测试 方法 ， 可 用 于 对 物 联网 设备 身份 鉴别 的 检测 。 首 先 假定 身份 
标识 问题 已 经 解决 (否则 身份 鉴别 没有 意义 ), 而且 测评 者 已 经 知道 数据 包 中 哪些 字段 为 设备 
的 身份 标识 ， 下 面 分 两 种 情况 进行 讨论 。 

(1) 假设 与 被 测 设备 ( 记 为 了) 进行 通信 的 设备 有 2 台 或 以 上 ， 包 括 设备 A 与 设备 B。 这 
种 情况 下 捕获 设备 A 与 设备 B 的 数据 包 ， 将 两 个 数据 包 中 表示 身份 标识 的 字段 进行 互 换 ， 
然后 分 别 发 给 设备 T。 如 果 任何 一 个 修改 后 的 数据 包 被 接受 ， 则 对 身份 鉴别 的 检测 失败 ; 如 
果 这 样 的 检测 重复 多 次 都 没有 检测 失败 的 情况 ， 则 表示 符合 对 身份 鉴别 的 测评 要 求 。 

(2) 假设 与 被 测 设备 进行 通信 的 设备 只 有 1 台 ， 记 为 E。 这 种 情况 下 捕获 设备 发 
给 设备 了 的 数据 包 ， 将 数据 包 中 表示 身份 的 那些 字段 用 随机 产生 的 字段 葵 换 ， 然 后 将 修改 
后 的 数据 包 发 给 设备 T。 如 果 修改 后 的 数据 包 被 接受 (需要 有 声 光 信号 分 别 表示 接受 和 拒绝)， 
则 表示 对 身份 鉴别 的 检测 失败 ， 如 果 这 样 的 检测 重复 多 次 都 没有 检测 到 失败 的 情况 ， 则 表 
示 符合 对 身份 鉴别 的 测评 要 求 。 

4. 数据 保密 性 测评 和 数据 完整 性 测评 

数据 保密 性 测评 就 是 验证 用 户 提供 的 密 文 数据 与 明文 数据 是 否 匹 配 。 为 了 使 这 一 测评 
更 客观 ， 应 该 现场 捕获 被 测 数据 进行 检测 。 为 了 检查 明文 数据 (用 户 提供 或 被 测 设备 可 以 显 
赤 ) 与 密 文 数据 (现场 捕获 ) 匹 配 ， 需 要 被 测 设备 的 用 户 提供 加 密 密 钥 ， 检 测 设备 也 应 该 有 正 
确 的 解密 算法 才能 完成 这 种 检测 。 

但 有 时 候 被 检测 的 设备 可 能 是 用 户 的 实际 业务 数据 ， 不 方便 提供 解密 密 钥 ， 只 能 针对 
被 检测 的 数据 本 身 进行 分 析 。 在 这 种 情况 下 ， 对 数据 保密 性 的 检测 实际 是 检测 保密 性 技术 
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是 否 真 实 存在 ， 也 就 是 对 保密 性 之 存在 性 的 检测 。 

5. 数据 保密 性 之 存在 性 测评 方法 

在 物 联网 系统 中 ， 要 检测 一 个 数据 包 中 的 数据 是 否 经 过 加 密 处 理 不 是 一 件 容易 的 事 。 
因为 很 多 传感器 数据 量 很 小 ， 几 个 字 节 就 能 表示 ， 如 使 用 4B 表示 抄 表 数据 及 一 些 传感器 数 
据 就 绰绰有余 。 如 何 根据 数据 本 身 去 判断 是 否 已 经 被 加 密 ， 这 就 看 检测 者 是 否 掌握 正确 的 
加 密 密 钥 。 因 此 ， 对 数据 的 保密 性 检测 分 为 两 种 情况 : 保密 性 之 存在 性 检测 和 保密 性 之 正 
确 性 检测 。 

1) ”数据 保密 的 存在 性 检测 

在 不 掌握 密 钥 信息 的 情况 下 判断 数据 是 否 已 被 加 密 ， 也 就 是 说 判断 传输 的 数据 为 明文 
还 是 密 文 。 我 们 假设 数据 字段 在 捕获 的 数据 包 中 的 位 置 是 明确 的 ， 因 为 标准 通信 协议 中 很 
容易 确定 负载 数据 的 位 置 ， 而 对 使 用 私有 通信 协议 的 情况 ， 被 检测 部 门 有 义务 告知 检测 机 
构 有 具体 的 业务 数据 位 置 。 我 们 假定 被 检测 的 数据 已 经 从 捕获 的 数据 包 中 分 离 出 来 ， 因 此 对 
保密 性 之 存在 性 的 检测 问题 就 是 检测 这 段 数 据 是 明文 数据 还 是 密 文 数据 的 问题 。 

2) ”数据 保密 的 正确 性 检测 

检测 明文 还 是 密 文 的 方法 就 是 判断 数据 有 没有 实际 意义 。 一 个 传感器 数据 很 小 ， 而 且 
本 身 具有 一 定 的 随机 性 ， 例 如 高 精度 温 湿度 检测 设备 ， 可 能 经 常 得 到 不 同 的 检测 数值 。 抄 
表 类 数据 更 是 如 此 ， 随 着 对 水 、 电 、 气 的 消费 ， 抄 表 数 据 一 直 在 发 生变 化 。 由 于 数据 比较 
小 ， 特 别 是 一 些 更 短 数 据 ( 有 时 只 需 2B 即 可 ) 的 情况 ， 加 密 后 的 数据 与 有 意义 的 数据 格式 相 
同 的 概率 也 很 高 ， 因 此 出 现 漏 报 (没有 加 密 的 明文 数据 被 当 作 密 文 数据 对 待 ) 和 误 判 (加 密 后 
的 密 文 数据 被 误 判 为 明文 数据 ) 的 概率 可 能 是 一 个 不 可 忽略 的 数值 。 但 是 对 于 测评 标准 不 允 
许 有 误 判 的 情况 ， 需 要 漏 报 概率 越 低 越 好 。 

传统 的 检测 数据 随机 性 的 方法 是 随机 性 检验 ， 有 着 多 个 不 同 的 指标 ， 其 前 提 是 需要 较 
大 的 数据 量 ， 和 否则 检测 结果 错误 率 会 很 高 。 但 针对 物 联 网 数据 ， 一 般 情况 下 不 能 获得 用 于 
随机 性 检测 所 需要 的 数据 量 ， 传 统 的 随机 性 检测 方法 不 再 适用 ， 应 该 针对 特殊 应 用 提出 新 
的 针对 小 数据 的 随机 性 检测 方法 。 

6. 数据 完整 性 之 存在 性 测评 方法 

这 里 所 指 的 数据 完整 性 保护 方法 不 是 通过 通信 中 常用 的 校 验 方法 ， 如 CRC 校 验 。 数 据 
完整 性 保护 的 目标 是 防范 恶意 算 改 ， 一 般 使 用 密码 学 中 的 消息 认证 码 技术 来 实现 。 消 息 认 
证 码 产 生 的 消息 校 验 字段 也 有 具有 很 好 的 随机 性 ， 因 此 在 这 种 情况 下 对 数据 完整 性 之 存在 性 
的 检测 ， 同 样 可 以 使 用 类 似 于 对 密 文 的 随机 性 检测 方法 来 检测 消息 认证 码 的 随机 性 ， 其 基 
本 步骤 如 下 。 

(1) 根据 相关 资料 了 解 业 务 数据 的 完整 性 校 验 码 所 在 的 字段 位 置 。 

(2) 捕获 充分 多 的 通信 数据 ， 从 中 提取 校 验 码 字 段 所 承载 的 数据 。 

(3) 对 这 些 字段 数据 进行 随机 性 检测 ， 若 通过 随机 性 测试 ， 则 判定 完整 性 测评 通过 。 

上 述 步骤 适用 于 使 用 密码 杂凑 函数 产生 消息 认证 码 MAC 的 情况 。 但 提供 消息 完整 性 保 
护 的 方法 有 很 多 ， 对 一 些 个 性 化 的 轻 量 级 数据 完整 性 保护 技术 ， 可 能 不 需要 使 用 密码 杂凑 
函数 也 可 以 提供 消息 完整 性 保护 ， 这 时 数据 完整 性 保护 与 数据 机 密 性 保护 可 以 融 为 一 体 ， 
例如 认证 加 密 算法 (Authenticated Encryption) 就 具有 这 种 性 质 。 因 此 对 这 种 情况 ， 上 述 检测 
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步骤 是 不 适用 的 。 针 对 这 种 情况 ， 建 议 使 用 渗透 性 测试 方法 ， 即 在 测试 中 破坏 消息 完整 性 ， 
然后 发 送 给 收 信 方 ， 检 查 完 整 性 得 到 破坏 的 消息 是 否 能 被 接受 。 如 果 被 接受 ， 说 明 收 信 方 
没有 发 现 消息 完整 性 问题 ， 即 数据 完整 性 保护 测试 失败 。 这 种 破坏 消息 完整 性 的 渗透 性 测 
试 需要 执行 多 次 ， 每 次 以 不 同 的 方式 破坏 消息 的 完整 性 ， 通 过 这 样 的 方法 来 检测 被 测 系统 
是 否 具 有 消息 完整 性 保护 功能 。 如 何 规范 渗透 性 测试 方法 需要 进一步 研究 ， 这 种 方法 适合 
对 所 有 类 型 的 数据 完整 性 保护 的 检测 。 
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物 联 网 是 建立 在 互联 网 基础 上 的 泛 在 网 络 发 展 的 一 个 新 阶段 ， 它 可 以 通过 各 种 有 线 和 
无 线 网 络 与 互联 网 融合 ,综合 应 用 海量 的 传感器 、 智 能 处 理 终端 全 球 定位 系统 等 , 实现 物 
与 物 、 物 与 人 的 随时 随地 连接 ， 实 现 智能 管理 和 控制 。 物 联网 引领 了 信息 产业 革命 的 第 三 
次 浪潮 ， 将 成 为 未 来 社会 经 济 发 展 、 社 会 进步 和 科技 创新 的 最 重要 的 基础 设施 ， 也 关系 到 
国家 在 未 来 对 一 些 物理 设施 的 安全 利用 和 管控 。 本 章 主要 介绍 了 物 联网 的 定义 与 特点 、 物 
联网 的 关键 技术 以 及 物 联网 安全 问题 概述 。 
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物 联 网 发 展 带 来 的 安全 问题 将 更 为 突出 ， 所 以 要 强化 安全 意识 ， 
把 安全 放 在 首位 ， 超 前 研究 物 联网 产业 发 展 可 能 带 来 的 安全 问题 。 物 
联网 安全 除了 要 解决 系统 信息 安全 的 问题 之 外 ， 还 需要 注重 信息 安全 
体系 的 结构 设计 。 
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2.1 物 联网 安全 体系 结构 


物 联 网 结构 复杂 、 技 术 繁 多 ， 面 临 的 安全 威胁 的 种 类 也 就 比较 多 。 结 合 物 联 网 的 安全 
架构 来 分 析 感 知 层 、 传 输 层 、 网 络 层 以 及 应 用 层 的 安全 威胁 与 需求 ， 不 仅 有 助 于 选取 、 研 
发 适合 物 联网 的 安全 技术 ， 更 有 助 于 系统 地 建设 完整 的 物 联网 安全 体系 。 经 过 对 需求 的 分 
析 ， 可 以 归纳 出 安全 架构 安全 服务 的 理念 : 集中 控制 、 统 一 管理 、 全 面 分 析 、 快 速 响 应 ， 
如 图 2-1 所 示 。 
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图 2-1 安全 服务 理念 


2.1.1 物 联 网 安全 整体 结构 


物 联 网 融合 了 传 感 网 络 、 移 动 通信 网 络 和 互联 网 ， 这 些 网 络 也 面临 各 类 安全 问题 。 与 
此 同时 ， 由 于 物 联 网 是 一 个 由 多 种 网 络 融合 而 成 的 异 构 网 络 ， 因 此 ， 物 联网 不 仅 存在 异 构 
网 络 的 认证 、 访 问 控 制 、 信 息 存 储 和 信息 管理 等 安全 问题 ， 而 且 其 设备 还 具有 数量 庞大 、 
复杂 多 元 、 缺 少 有 效 监 控 、 节 点 资源 有 限 、 结 构 动态 离散 等 特点 ， 这 就 使 得 其 安全 问题 较 
其 他 网 络 更 加 复杂 。 

与 互联 网 相 比 ， 物 联网 的 通信 对 象 扩 大 到 了 物品 。 根 据 功 能 的 不 同 ， 物 联网 网 络 体系 
结构 大 致 分 为 三 个 层次 ， 底 层 是 用 来 采集 信息 的 感知 层 ， 中 间 层 是 传输 数据 的 网 络 层 ， 顶 
层 则 是 应 用 /中 间 件 层 。 物 联网 安全 的 总 体 需 求 是 物理 安全 、 信 息 采 集 安全 、 信 息 传输 安全 
和 信息 处 理 安全 的 综合 ， 安 全 的 最 终 目 标 是 确保 信息 的 机 密 性 、 完 整 性 、 真 实 性 和 数据 的 
新 鲜 性 。 物 联网 的 安全 机 制 应 当 建立 在 各 层 的 技术 特点 和 面临 的 安全 威胁 的 基础 之 上 。 


2.1.2 ”感知 层 安全 体系 结构 


感知 层 的 安全 体系 结构 如 图 2-2 所 示 , 突出 了 管理 层面 在 整个 感知 层 安全 体系 中 的 地 位 
并 将 技术 层面 纳入 管理 层面 中 ， 充 分 说 明了 安全 技术 的 实现 依赖 于 管理 手段 及 制度 上 的 保 
证 ， 与 管理 要 求 相辅相成 。 体 系 中 还 将 检测 体系 作为 整个 感知 层 安 全 体系 的 支撑 ， 在 检测 
体系 中 融合 了 对 管理 体系 和 技术 体系 的 检测 要 求 。 技 术 层面 的 要 求 基 本 涵盖 了 当前 感知 层 
网 络 中 存在 的 技术 方面 的 主要 问题 。 感 知 层 安全 体系 的 管理 层面 主要 包括 节点 管理 和 系统 
管理 两 部 分 要 求 。 其 中 节点 管理 具体 包括 节点 监管 、 应 急 处 理 和 隐私 防护 ， 系 统管 理 具体 
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包括 风险 分 析 、 监 控 审 计 和 备份 恢复 。 技 术 层面 主要 包括 节点 安全 和 系统 安全 两 部 分 要 求 。 
其 中 节点 安全 具体 包括 抗 干扰 、 节 点 认证 、 抗 旁 路 攻击 和 节点 外 联 安全 ， 系 统 安全 具体 包 
括 安全 路 由 控制 、 数 据 认证 和 操作 系统 安全 。 检 测 体系 主要 包括 安全 保证 检查 、 节 点 检测 、 
系统 检测 、 旁 路 攻击 检测 和 路 由 攻击 检测 。 
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安全 保证 检查 | 节点 检测 | 系统 检测 | 旁 路 攻击 检测 || 路 由 攻击 检测 









































图 2-2 感知 层 安全 体系 结构 
1. 技术 层面 


技术 层面 节点 安全 要 求 中 的 抗 干扰 是 指 感知 节点 应 实现 抗 信号 干扰 措施 ， 支 持 数据 编 
码 和 数据 完整 性 校 验 ， 提 高 抗 干扰 能 力 。 节 点 认证 是 指 感知 层 节点 和 信息 接收 方 均 含有 身 
份 信息 或 可 提供 身份 证 明 ， 实 现 感知 节点 和 信息 接收 方 双 向 认证 。 节 点 认证 可 分 为 单 因子 
认证 和 双 因子 认证 两 个 级 别 。 抗 旁 路 攻击 又 分 为 抗 功 耗 旁 路 攻击 和 抗 故障 注入 旁 路 攻击 。 
抗 功 耗 旁 路 攻击 是 指 感知 节点 部 署 抗 功 耗 旁 路 攻击 防护 措施 , 在 SPA、DPA、CPA、SEMA、 
DEMA 等 多 种 分 析 方 式 下 ， 可 防御 DES、AES、RSA、ECC、COMP128 等 算法 的 功 耗 旁 路 
攻击 ; 抗 故障 注入 旁 路 攻击 是 指 感知 节点 部 署 抗 故障 注入 旁 路 攻击 防护 措施 ， 可 防御 DES、 
AES、RSA 等 算法 的 故障 注入 攻击 。 节 点 外 联 安全 是 指 感知 节点 的 U 口 、 串 口 、 蓝 牙 、 无 
线 网 口 、1394 口 等 外 联 端 口 应 进行 控制 ， 可 采用 禁用 (关闭 无 用 的 外 联 端口 )、 审 计 (记录 端 
口外 联 的 日 志 信 息 防 护 措施 ): 和 加 固 ( 安 装 外 联 端 口 监控 与 报警 等 相关 软件 ) 的 方式 。 


2. 管理 层面 


管理 层面 节点 管理 要 求 中 的 节点 监管 是 指 对 感知 节点 的 物理 信息 、 能 量 状 况 、 数 据 通 
信行 为 、 交 互 运行 状态 及 设备 信息 进行 监管 ， 识 别 恶 意 、 损 害 节点 。 应 急 处 理 是 指 根据 感 
知 节点 的 重要 程度 和 运行 安全 的 不 同 要 求 ， 实 现 感知 节点 应 急 处 理 的 安全 机 制 和 措施 ， 可 
分 为 设备 正常 的 备份 机 制 和 安全 管理 机 构 。 

隐私 防护 是 指 感知 层 可 提供 感知 节点 位 置信 息 防护 ， 用 户 可 掌控 感知 节点 位 置信 息 
提供 制度 约束 ， 按 照 知情 权 、 选 择 权 、 参 与 权 、 采 集 者 、 强 制 性 五 项 原则 执行 ， 提 供 数 据 
混 光 机制， 混淆 位 置信 息 中 的 其 他 部 分 。 

系统 管理 要 求 中 的 风险 分 析 是 指 以 感知 层 节 点 安全 运行 和 数据 安全 保护 为 出 发 点 ， 全 
































19 


NN EEE 


20 





分 析 由 于 环境 、 节 点 、 管 理 、 人 为 等 原因 所 造成 的 安全 风险 。 通 过 对 影响 感知 节点 运行 
的 诸多 因素 的 分 析 ， 明 确 存 在 的 风险 ， 并 提出 减少 风险 的 措施 : 对 常见 的 风险 进行 分 析 ， 
确定 每 类 风险 的 威胁 程度 ，@@ 感 知 节点 设计 前 要 进行 静态 风险 分 析 ， 以 发 现 潜在 的 安全 隐 
患 图 感知 节点 运行 时 要 进行 动态 风险 分 析 ， 监 控 并 审计 相关 活动 ; 四 采用 相关 分 析 工 具 ， 
完成 风险 分 析 与 评估 ， 并 制定 相应 的 整改 措施 。 

监控 审计 是 指 在 感知 层 重要 位 置 部 署 监 控 与 审计 节点 和 探测 节点 ， 实 时 监听 并 记录 感 
知 层 其 他 节点 的 物理 位 置 、 通 信行 为 等 状态 信息 ， 在 发 现 损坏 节点 、 恶 意 节点 、 违 规 行为 
和 未 授权 访问 行为 时 报告 感知 层 中心 处 理 节点 。 备 份 恢复 是 指 为 了 实现 确定 的 恢复 功能 ， 
必须 在 感知 节点 正常 运行 时 定期 地 或 按 某 种 条 件 实施 备份 ， 不 同 的 恢复 要 求 应 用 不 同 的 备 
份 进行 支持 ， 根 据 感知 的 存储 要 求 和 计算 能 力 ， 实 现 备份 与 故障 恢复 的 安全 技术 和 机 制 ， 
分 为 关键 节点 备份 恢复 和 中 间 件 备份 恢复 。 


3. 检测 体系 


检测 体系 中 的 安全 保证 检查 是 指 对 感知 层 安全 工程 的 资质 保证 、 组 织 保证 、 项 目 实施 
和 安全 工程 流程 要 依据 《信息 安全 技术 一 -信息 系统 安全 工程 管理 要 求 XGB/T 20282 一 2006) 
中 的 相关 条 款 进 行 检查 。 节 点 检测 是 指 对 恶意 节点 、 损 坏 节点 的 检测 分 析 。 这 种 分 析 通 过 
对 节点 的 物理 信息 、 能 量 状况 、 数 据 通信 行为 以 及 物理 损害 感知 机 制 获取 的 数据 进行 检测 
和 分 析 ， 发 现存 在 的 安全 隐患 。 系 统 检测 是 指 从 操作 系统 的 角度 ， 评 估 账 户 设置 、 系 统 状 
态 、 病 毒 与 木马 探测 、 程 序 真实 性 以 及 一 般 与 用 户 相关 的 安全 点 等 ， 从 而 监测 和 分 析 操 作 
系统 的 安全 性 。 旁 路 攻击 检测 又 分 为 功 耗 /电磁 辐射 和 故障 注入 检测 分 析 两 种 。 功 耗 /电磁 辐 
射 注入 分 析 技 术 通过 采集 加 密 过 程 中 的 芯片 功 耗 或 发 出 的 电磁 辐射 来 检测 感知 节点 的 抗 旁 
路 攻击 能 力 ; 故障 注入 分 析 技 术 采 用 物理 方法 干扰 密码 芯片 的 正常 工作 ， 分 析 其 执行 的 某 
些 错 误 操 作 来 检测 其 抗 旁 路 攻击 能 力 。 路 由 攻击 检测 是 指 通过 在 关键 部 位 部 署 恶意 节点 ， 
来 模拟 侵袭 方法 ， 检 测 并 报告 感知 层 的 路 由 安全 性 。 


2.1.3 ”传输 层 安全 体系 结构 


随 着 计算 机 网 络 的 普及 与 发 展 ， 网 络 为 我 们 创造 了 一 个 可 以 实现 信息 共享 的 新 环境 。 
但 是 由 于 网 络 的 开放 性 ， 如 何在 网 络 环境 中 保障 信息 的 安全 始终 是 人 们 关注 的 焦点 。 在 网 
络 出 现 的 初期 ， 网 络 主要 分 布 在 一 些 大 型 的 研究 机 构 、 大 学 和 公司 ， 由 于 网 络 使 用 环境 的 
相对 独立 和 封闭 性 ， 网 络 内 部 处 于 相对 安全 的 环境 ， 在 网 络 内 部 传输 信息 基本 不 需要 太 多 
的 安全 措施 。 随 着 网 络 技术 的 飞速 发 展 ， 尤 其 是 Internet 的 出 现 和 以 此 为 平台 的 电子 商务 的 
广泛 应 用 ， 如 何 保证 信息 在 Intemet 上 的 安全 传输 ， 特 别 是 敏感 信息 的 保密 性 、 完 整 性 ， 已 
成 为 一 个 重要 问题 ， 也 是 当今 网 络 安全 技术 研究 的 一 个 热点 。 

在 许多 实际 应 用 中 ， 网 络 由 分 布 在 不 同 站 点 的 内 部 网 络 和 站 点 之 间 的 公共 网 络 组 成 。 
每 个 站 点 配 有 一 台 网 关 设备 ， 由 于 站 点 内 网 络 的 相对 封闭 性 和 单一 性 ， 站 点 内 网 络 对 传输 
信息 的 安全 保护 要 求 不 大 。 两 个 站 点 之 间 网 络 属于 公共 网 络 ， 网 络 相对 开放 ， 使 用 情况 复 
杂 ， 因 此 需要 对 站 点 间 的 公共 网 络 传输 的 信息 进行 安全 保护 ， 如 图 2-3 所 示 。 
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图 2-3 企业 、 个 人 之 间 的 通信 传输 


在 网 络 层 中 ，IPSec 可 以 提供 端 到 端的 网 络 层 安全 传输 ， 但 是 它 无 法 处 理 位 于 同一 端 系 
统 之 中 的 不 同 的 用 户 安全 需求 ， 因 此 需要 在 传输 层 和 更 高 层 提 供 网 络 安全 传输 服务 ， 来 满 
足 这些 要 求 。 而 传输 层 安 全 协议 的 特点 就 是 : 基于 两 个 传输 进程 间 的 端 到 端 安全 服务 ， 保 
证 两 个 应 用 之 间 的 保密 性 和 安全 性 , 为 应 用 层 提 供 安全 服务 。Web 浏览 器 是 将 HITP 和 SSL 
相 结合 ， 因 为 技术 实现 简单 ， 所 以 在 电子 商务 中 也 有 应 用 。 在 传输 层 中 使 用 的 安全 协议 主 
要 是 SSL(Secure Socket Layer， 安 全 套 接 字 层 协议 )。 

SSL 是 由 Netscape 设计 的 一 种 开放 协议 ， 它 指定 了 一 种 在 应 用 程序 协议 (如 HTTP、 
Telnet、NNTP、FTP) 和 TCP/IP 之 间 提 供 数 据 安 全 性 分 层 的 机 制 。SSL 为 TCP/IP 连接 提供 
数据 加 密 、 服 务 器 认证 、 消 息 完 整 性 检验 以 及 可 选 的 客户 机 认证 。SSL 的 主要 目的 是 在 两 
个 通信 应 用 程序 之 间 提供 私密 信和 可 靠 性 。 这 个 过 程 通过 三 个 元 素来 完成 。 

(1) 握手 协议 。 这 个 协议 负责 协商 被 用 于 客户 机 和 服务 器 之 间 会 话 的 加 密 参数 。 当 一 
个 SSL 客户 机 和 服务 器 第 一 次 开始 通信 时 ， 它 们 在 一 个 协议 版 本 上 达成 一 致 ， 选 择 加 密 算 
法 ， 选 择 相互 认证 ， 并 使 用 公 钥 技术 来 生成 共享 密 钥 。 

(2) 记录 协议 。 这 个 协议 用 于 交换 应 用 层 数 据 。 应 用 程序 消息 被 分 割 成 可 管理 的 数据 
块 ， 还 可 以 压缩 ， 并 应 用 一 个 MAC( 消 息 认 证 代码 )， 然 后 结果 被 加 密 并 传输 。 接 收 方 接收 
数据 并 对 它 解密 ， 校 验 MAC， 解 压缩 并 重新 组 合 它 ， 并 把 结果 提交 给 应 用 程序 协议 。 

(3) 警告 协议 。 这 个 协议 用 于 指示 在 什么 时 候 发 生 了 错误 或 两 个 主机 之 间 的 会 话 在 什 
么 时 候 终止。 

下 面 来 看 一 个 使 用 Web 客户 机 和 服务 器 的 范例 。Web 客户 机 通过 连接 到 一 个 支持 SSL 
的 服务 器 ， 启 动 一 次 SSL 会 话 。 支 持 SSL 的 典型 Web 服务 器 在 一 个 与 标准 HITP 请 求 ( 默 
认为 端口 80) 不 同 的 端口 (默认 为 443) 上 接受 SSL 连接 请 求 。 当 客户 机 连接 到 这 个 端口 上 时 ， 
它 将 启动 一 次 建立 SSL 会 话 的 握手 。 当 握手 完成 之 后 ， 通 信 内 容 被 加 密 ， 并 且 执行 消息 完 
整 性 检查 ， 直 到 SSL 会 话 过 期 。SSL 创建 一 个 会 话 ， 在 此 期 间 ， 握 手 必须 只 发 生 过 一 次 。 
SSL 握手 过 程 的 步骤 如 下 。 

步 又 1: SSL 客户 机 连接 到 SSL 服务 器 ， 并 要 求 服务 器 验证 它 自身 的 身份 。 

步骤 2: 服务 器 通过 发 送 它 的 数字 证 书证 明 其 身份 。 这 个 交换 还 可 以 包括 整个 证 书 链 ， 
直到 某 个 根 证 书 权威 机 构 (CA)。 通 过 检查 有 效 日 期 并 确认 证 书包 含有 可 信任 CA 的 数字 签 
名 ， 来 验证 证 书 。 

步骤 3: 服务 器 发 出 一 个 请 求 ， 对 客户 端的 证 书 进行 验证 。 但 是 ， 因 为 缺乏 公 钥 体系 结 
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构 ， 当 今 的 大 多 数 服务 器 不 进行 客户 端 认 证 。 

步骤 4: 协商 用 于 加 密 的 消息 加 密 算法 和 用 于 完整 性 检查 的 散 列 函数 。 通 常 由 客户 机 提 
供 它 支 持 的 所 有 算法 列表 ， 然 后 由 服务 器 选择 最 强健 的 加 密 算法 。 

步骤 5: 客户 机 和 服务 器 通过 下 列 过 程 生成 会 话 密 钥 : 客户 机 生成 一 个 随机 数 ， 并 使 
用 服务 器 的 公 钥 (从 服务 器 的 证 书 中 获得 ) 对 它 加 密 ， 发 送 到 服务 器 上 ; 四 服务 器 用 更 加 随机 
的 数据 (客户 机 的 密 钥 可 用 时 则 使 用 客户 机 密 钥 ， 和 否则 以 明文 方式 发 送 数据 ) 响 应 ; @) 使 用 散 
列 函 数 ， 从 随机 数据 生成 密 钥 。 


2.1.4 ”网络 层 安全 体系 结构 


物 联 网 网 络 层 主要 用 于 把 感知 层 收 集 到 的 信息 安全 可 靠 地 传输 到 应 用 层 ， 然 后 根据 不 
同 的 应 用 需求 进行 处 理 ， 即 网 络 层 主要 是 网 络 基础 设施 ， 包 括 互联 网 、 移 动 网 和 一 些 专业 
网 (如 国家 电力 专用 网 、 广 播 电 视 网 ) 等 。 在 信息 传输 过 程 中 ， 可 能 经 过 一 个 或 多 个 不 同 架构 
的 网 络 进行 信息 交接 。 例 如 ， 电 话 座机 与 手机 之 间 的 通话 就 是 一 个 典型 的 跨 网 络 架构 的 信 
息 传输 实例 。 在 信息 传输 过 程 中 ， 跨 网 络 传输 是 很 正常 的 ， 在 物 联网 环境 中 这 一 现象 更 突 
出 ， 而 且 很 可 能 在 正常 且 普 通 的 事件 中 产生 信息 安全 隐患 。 

物 联 网 不 仅 要 面 对 移 动 通 信 网 络 和 互联 网 带 来 的 传统 网 络 安全 问题 ， 而 且 由 于 物 联网 
由 大 量 的 自动 设备 构成 ， 缺 少 对 设备 的 有 效 管控 ， 并 且 终 端 数量 庞大 ， 设 备 种 类 和 应 用 场 
景 复杂 ， 这 些 因素 都 对 物 联网 网 络 安全 造成 新 的 威胁 。 相 对 于 传统 单一 的 TCP/IP 网 络 技术 
而 言 ， 所 有 的 网 络 监控 措施 、 防 御 技术 不 仅 面临 结构 更 复杂 的 网 络 数据 ， 同 时 又 有 更 高 的 
实时 性 要 求 ， 在 网 络 通信 、 网 络 融合 、 网 络 安全 、 网 络 管理 、 网 络 服务 和 其 他 相关 学 科 领 
域 将 是 一 个 新 的 挑战 。 


1. 网 络 层 的 安全 挑战 


物 联 网 网 络 层 所 处 的 网 络 环境 存在 严重 安全 挑战 。 由 于 不 同 架 构 的 网 络 需要 相互 连通 ， 
因此 在 跨 网 络 架 构 的 安全 认证 等 方面 会 面临 更 大 挑战 。 物 联网 网 络 层 将 会 遇 到 以 下 安全 
挑战 。 

(1) 非法 接 入 。 

(2) DoS 攻击 、DDoS 攻击 。 

(3) 假冒 攻击 、 中 间 人 攻击 等 。 

(4) 跨 异 构 网 络 的 网 络 攻击 。 

(5) 信息 窃取 、 算 改 。 

网 络 层 很 可 能 面临 非 授权 节点 非法 接 入 的 问题 ， 如 果 网 络 层 不 采取 网 络 接 入 控制 措施 ， 
就 很 有 可 能 非法 接 入 ， 其 结果 可 能 是 网 络 层 负担 加 重 或 者 传输 错误 信息 。 

在 物 联网 发 展 过 程 中 ， 目 前 的 互联 网 或 者 下 一 代 互 联网 将 是 物 联 网 网 络 层 的 核心 载体 ， 
多 数 信息 要 经 过 互联 网 传输 。 互 联网 遇 到 的 DoS 和 分 布 式 拒绝 服务 攻击 (DDoS) 仍 然 存 在 ， 
因此 需要 更 好 的 防范 措施 和 灾难 恢复 机 制 。 考 虑 到 物 联 网 所 连接 的 终端 设备 性 能 和 对 网 络 
需求 的 巨大 差异 ， 对 网 络 攻击 的 防护 能 力也 会 有 很 大 的 差别 ， 很 难 设 计 通 用 的 安全 方案 ， 
因此 针对 不 同 网 络 性 能 和 网 络 需求 有 不 同 的 防范 措施 。 
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2. 网 络 层 的 安全 需求 


在 网 络 层 ， 异 构 网 络 的 信息 交换 将 成 为 安全 性 的 脆弱 点 ， 特 别 是 在 网 络 认证 方面 ， 难 
免 存在 中 间 人 攻击 和 其 他 类 型 的 攻击 ， 如 异步 攻击 、 合 谋 攻 击 等 ， 这 些 攻击 都 需要 有 更 好 
的 安全 防护 措施 。 

信息 在 网 络 中 传输 时 ， 很 可 能 被 攻击 者 非法 获取 到 相关 信息 ， 甚 至 自 改 信息 ， 所 以 必 
须 采 取保 密 措 施 进 行 加 密 保 护 。 

网 络 层 的 安全 需求 可 以 归纳 如 下 。 

(1) 数据 机 密 性 ， 需要 保证 在 传输 过 程 中 不 泄露 其 内 容 。 

(2) 数据 完整 性 ， 需 要 保证 数据 在 传输 过 程 中 不 被 非法 算 改 或 者 容易 检测 出 被 非法 自 
改 的 数据 。 

(3) 数据 流 机 密 性 ， 某 些 应 用 场景 需要 对 数据 流量 信息 进行 保密 ， 目 前 只 能 提供 有 限 
的 数据 流 机 密 性 。 

(4) DDoS 攻击 的 检测 和 预防 : DDoS 攻击 是 网 络 中 最 常见 的 攻击 现象 ， 在 物 联网 中 将 
会 更 加 突出 。 物 联网 需要 解决 的 问题 还 包括 如 何 对 脆弱 节点 的 DDoS 攻击 进行 防护 。 

(5) 认证 与 密 钥 (AKA) 协 商机 制 的 一 致 性 或 兼容 性 ， 需 要 解决 跨 域 认证 、 不 同 无 线 网 络 
所 使 用 的 不 同 认证 和 密 钥 协 商机 制 对 跨 网 认证 的 不 利 影响 。 


3. 网 络 层面 临 的 安全 问题 架构 


1) ”来自 物 联网 接 入 方式 的 安全 问题 

物 联网 的 传输 层 采用 各 种 网 络 ， 如 移动 互联 网 、 有 线 网 、WiFi、WiMAX 等 各 种 无 线 接 
入 技术 。 接 入 层 的 异 构 性 使 如 何 为 终端 提供 移动 性 管理 以 保证 异 构 网 络 间 节 点 漫游 和 服务 
的 无 颖 移动 成 为 研究 的 重点 ， 其 中 安全 问题 的 解决 将 得 益 于 切换 技术 和 位 置 管理 技术 的 进 
一 步 研究 。 另 外 ， 物 联网 接 入 方式 将 主要 依赖 于 移动 通信 网 络 。 移 动 通信 网 络 中 移动 站 与 
固定 网 络 端 之 间 的 所 有 通信 都 是 通过 无 线 接口 来 传输 的 。 然 而 无 线 接口 是 开放 的 ， 任 何 使 
用 无 线 设备 的 个 体 均 可 以 通过 窃听 无 线 信道 来 获得 其 中 传输 的 信息 ， 甚 至 可 以 修改 、 插 入 、 
删除 或 重 传 其 中 传输 的 信息 ， 达 到 假冒 移动 用 户 身份 以 欺骗 网 络 终端 的 目的 。 因 此 ， 移 动 
网 络 存在 严重 的 无 线 窃听 、 身 份 假冒 、 数 据 算 改 等 不 安全 因素 。 

2) 来 自 物 联网 终端 自身 的 安全 问题 

随 着 物 联网 业务 终端 日 益 智能 化 ， 终 端的 计算 和 存储 能 力 不 断 增强 ， 物 联网 应 用 更 加 
丰富 ， 这 些 应 用 同时 也 增加 了 终端 感染 病毒 、 木 马 或 恶意 代码 入 侵 的 渠道 。 一 旦 终端 被 入 
侵 成 功 ， 之 后 通过 网 络 传播 就 变 得 非常 容易 。 病 毒 、 木 马 或 恶意 代码 在 物 联网 内 具有 更 大 
的 传播 性 、 更 高 的 隐蔽 性 、 更 强 的 破坏 性 ， 相 比 单一 的 通信 网 络 而 言 更 加 难以 防范 ， 带 来 
的 安全 威胁 更 大 。 同 时 ， 网 络 终端 自身 系统 平台 缺乏 完整 性 保护 和 验证 机 制 ， 平 台 软 、 硬 
件 模 块 容易 被 攻击 者 算 改 ， 内 部 各 个 通信 接口 缺乏 机 密 性 和 完整 性 保护 ， 在 此 之 上 传递 的 
信息 容易 被 窃取 或 自 改 。 如 果 物 联网 终端 丢失 或 被 盗 ， 那 么 其 中 存储 的 私密 信息 也 将 面临 
泄露 的 风险 。 

3) ”来 自 核心 网 络 的 安全 

未 来 ， 全 卫 化 移动 通信 网 络 和 互联 网 以 及 下 一 代 互 联网 将 是 物 联网 网 络 的 核心 载体 ， 
大 多 数 物 联网 业务 信息 要 利用 互联 网 传输 。 移 动 通信 网 络 和 互联 网 的 核心 网 络 具 有 相对 完 























23 


NN IEEE 


24 


整 的 安全 保护 能 力 ， 但 对 于 一 个 全 下 化 开放 性 网 络 ， 仍 将 面临 传统 的 DoS 攻击 、DDoS 攻 
击 、 假 冒 攻击 等 网 络 安全 威胁 ， 且 由 于 物 联 网 业务 节点 数量 将 大 大 超过 以 往 任何 服务 网 络 ， 
并 以 分 布 式 集群 方式 存在 ， 因此， 在 传输 大 量 数据 时 将 使 承载 网 络 堵塞 产生 拒绝 服务 攻击 。 


2.1.5 ”应 用 层 安全 体系 结构 


在 现代 社会 ， 物 联网 应 用 极为 普遍 ， 不 仅 很 多 企 事 业 单位 的 发 展 依赖 物 联网 平台 ， 而 
且 很 多 高 档 社区 的 建立 也 是 基于 物 联网 的 应 用 。 实 际 上 ， 从 构建 伊始 ， 物 联网 应 用 层 的 安 
全 架构 就 不 完善 ， 甚 至 可 以 说 发 发 可 危 。 为 了 能 够 将 物 联网 应 用 层 的 安全 框架 搭建 起 来 ， 
相关 领域 的 研究 人 员 耗 费 了 不 少 资源 。 就 以 物 联网 模式 下 的 物流 信息 系统 的 安全 管理 模式 
来 看 ， 无 论 是 电子 标签 还 是 RFID 射频 技术 的 普及 应 用 ， 都 需要 安全 管理 为 其 扫 清 障碍 。 

1. 物 联 网 应 用 层 的 安全 架构 

在 现代 人 的 日 常生 活 中 ， 对 物 联 网 的 应 用 频率 越 来 越 高 ， 安 全 平台 的 搭建 迫在眉睫 。 
实际 上 ， 物 联网 应 用 层 的 安全 架构 及 相关 技术 已 经 与 平台 对 接 ， 包 括 认证 与 密 钥 管理 机 制 、 
安全 路 由 协议 、 入 侵 检测 、 数 据 安全 与 隐私 保护 技术 等 ， 这 些 都 是 为 了 构建 完善 的 物 联 网 
安全 架构 所 做 出 的 努力 。 尽 管 如 此 ， 面 向 物 联 网 应 用 层 的 安全 架构 仍 不 能 面面俱到 ， 对 此 ， 
业界 专家 提出 一 种 基于 安全 代理 的 感知 层 安全 模型 ， 为 依托 物 联网 平台 运作 的 各 个 应 用 终 
端 提供 优化 服务 。 

目前 ， 面 向 物 联网 应 用 层 安 全 架构 的 构建 拟 整合 云 服务 ， 并 且 通 过 科学 分 析 网 络 信 息 
数据 ， 保 障 物 联 网 环境 安全 ， 云 计算 项 目 与 物 联网 应 用 层 安 全 架构 的 整合 实践 是 拓展 该 领 
域 发 展 空间 的 重要 策略 。 总 之 ， 随 着 现代 科技 的 发 展 ， 即 便 科技 将 人 们 的 隐私 暴露 于 众 ， 
甚至 时 刻 都 可 能 面临 恶意 的 侵袭 ， 而 IT 业界 的 管理 者 们 正在 紧锣密鼓 地 钻研 并 实践 面向 物 
联网 应 用 层 的 安全 管理 措施 ， 在 平台 之 上 构建 起 超级 物 联 网 应 用 体系 模型 ， 进 而 为 广大 物 
联网 用 户 保驾 护航 。 


2. 应 用 层 的 安全 概述 


物 联网 应 用 层 设计 的 主要 目的 是 满足 物 联 网 系统 的 具体 业务 开展 的 需求 ， 它 所 涉及 的 
信息 安全 问题 直接 面向 物 联网 用 户 群 体 ， 与 物 联网 的 其 他 层次 有 着 明显 的 区 别 。 考 虑 到 物 
联网 涉及 众多 领域 和 行业 ， 因 此 广 域 范围 的 海量 数据 信息 处 理 和 业务 控制 策略 将 在 安全 性 
与 可 靠 性 方面 面临 巨大 挑战 ， 其 中 业务 控制 和 管理 、 隐 私 保护 等 安全 问题 显得 尤为 突出 。 
此 外 ， 物 联网 应 用 层 的 信息 安全 还 涉及 信任 安全 、 位 置 安全 、 云 安全 以 及 知识 产权 保护 等 。 

1) “应 用 层 的 安全 挑战 

应 用 层 的 安全 挑战 大 致 可 归纳 为 以 下 几 点 。 

(1) 来 自 超大 量 终端 的 海量 数据 的 识别 和 处 理 。 

(2) 智能 变 为 低能 。 

(3) 自动 变 为 失控 (可 控 性 是 信息 安全 的 重要 指标 之 一 )。 

(4) 灾难 控制 和 恢复 。 

(5) 非法 人 为 干预 (内 部 攻击 )。 

(6) 设备 (特别 是 移动 设备 ) 的 丢失 。 
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2) ”应 用 层 的 安全 需求 

物 联网 时 代 需 要 处 理 的 信息 是 海量 的 ， 需 要 处 理 的 平台 也 是 分 布 式 的 。 当 不 同性 质 的 
数据 通过 一 个 处 理 平台 处 理 时 ， 该 平台 需要 多 个 功能 各 异 的 处 理 平台 协同 处 理 。 但 首先 应 
该 知道 将 哪些 数据 分 配 到 哪个 处 理 平台 上 ， 因 此 数据 分 类 是 必需 的 。 同 时 ， 安 全 的 要 求 使 
得 许多 信息 都 是 以 加 密 形式 存在 的 ， 因 此 如 何 快速 有 效 地 处 理 海量 加 密 数 据 是 智能 处 理 阶 
段 遇 到 的 一 个 重大 挑战 。 

应 用 层 的 安全 需求 主要 来 自 以 下 几 个 方面 。 

(1) 如 何 根据 不 同 的 访问 权限 对 同一 数据 库 中 的 内 容 进行 筛选。 

(2) 如 何 既 能 提供 用 户 隐 私 保护 ， 同 时 又 能 正确 认证 。 

(3) 如 何 解 决 信息 泄露 追踪 问题 。 

(4) 如 何 进行 计算 机 取证 。 

(5) 如 何 销毁 计算 机 数据 。 

(6) 如 何 保护 电子 产品 和 软件 的 知识 产权 。 

3) ”业务 控制 和 管理 

由 于 物 联网 设备 可 能 是 先 部 署 后 连接 网 络 ， 物 联网 节点 又 无 人 值守 ， 所 以 如 何 对 物 联 
网 设备 远程 签约 ， 如 何 对 业务 信息 进行 配置 就 成 了 难题 。 另 外 ， 庞 大 且 多 样 化 的 物 联网 必 
然 需要 一 个 强大 且 统 一 的 安全 管理 平台 ， 和 否则 单独 的 平台 会 被 各 式 各 样 的 物 联网 应 用 所 济 
没 ， 但 这 样 将 使 如 何 对 物 联网 机 器 的 日 志 等 安全 信息 进行 管理 成 为 新 的 问题 ， 并 且 可 能 割 
裂 网 络 与 业务 平台 之 间 的 信任 关系 ， 导 致 新 一 轮 安全 问题 的 产生 。 传 统 的 认证 是 区 分 层次 
的 ， 网 络 层 的 认证 负责 网 络 层 身份 鉴别 ， 业 务 层 的 认证 负责 业务 层 身份 鉴别 ， 两 者 独立 存 
在 。 但 是 大 多 数 情况 下 ， 物 联网 机 器 都 拥有 专门 的 用 途 ， 因 此 其 业务 应 用 和 网 络 通信 紧 紧 
地 绑 在 一 起 ， 很 难 独立 存在 。 

(1) 隐私 保护 。 

在 物 联 网 发 展 过 程 中 ， 大 量 的 数据 涉及 个 体 隐私 ， 如 个 人 出 行路 线 、 个 人 位 置信 息 、 
健康 状况 、 企 业 产 品 信息 等 ， 因 此 隐私 保护 是 必须 考虑 的 一 个 问题 。 如 何 设计 不 同 场景 、 
不 同等 级 的 隐私 保护 技术 ， 将 成 为 物 联网 安全 技术 研究 的 热点 问题 ， 当 前 隐私 保护 方法 主 
要 有 两 个 发 展 方向 : 一 是 对 等 计算 ， 通 过 直接 交换 共享 计算 机 资源 和 服务 ; 二 是 语义 Web， 
通过 规范 定义 和 组 织 信息 内 容 ， 使 之 具有 语义 信息 ， 能 被 计算 机 理解 ， 从 而 实现 与 人 的 相 
互 沟 通 。 

(2) 信任 安全 。 

物 联网 应 用 系统 是 一 个 分 布 式 、 动 态 开放 的 多 用 户 、 多 任务 的 工作 环境 ， 容 易 遭 受 恶 
意 用 户 的 攻击 。 因 此 ， 建 立 有 效 的 信任 安全 机 制 ， 确 定 网 络 节点 将 要 使 用 的 资源 和 服务 的 
有 效 性 ， 对 于 确保 物 联网 用 户 的 利益 具有 非常 重要 的 意义 。 为 了 防止 非法 用 户 使 用 系统 的 
资源 以 及 合法 用 户 对 系统 资源 的 非法 使 用 ， 就 需要 对 计算 机 及 其 网 络 系统 采取 有 效 的 安全 
防范 措施 ， 如 认证 、 授 权 和 访问 控制 。 

中 认证 。 

认证 是 指使 用 者 采用 某 种 方式 来 确认 对 方 的 真实 身份 ， 网 络 中 的 认证 主要 包括 身份 认 
证 和 消息 认证 。 身 份 认证 可 以 使 通信 双方 确认 对 方 的 身份 并 交换 会 话 密 钥 。 保 密 性 和 及 时 
性 是 认证 密 钥 交换 过 程 中 两 个 重要 的 问题 。 为 了 防止 假冒 和 会 话 密 钥 的 泄露 ， 用 户 标 识 和 
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会 话 密 钥 等 重要 信息 必须 以 密 文 的 形式 传送 ， 这 需要 事先 已 有 能 用 于 这 一 目的 的 主 密 钥 或 
公 钥 。 因 为 可 能 存在 消息 重 放 ， 所 以 及 时 性 非常 重要 。 访 问 控制 在 物 联 网 环境 下 增加 了 新 
的 内 容 ， 从 TCP/IP 网 络 中 主要 给 “人 ”进行 访问 控制 ， 变 为 给 机 器 进行 访问 授权 。 
@@ 授权 。 
系统 正确 认证 用 户 之 后 ， 根 据 不 同 的 用 户 标 识 分 配给 不 同 的 使 用 资源 ， 这 项 任务 称 为 
授权 。 授 权 的 实现 是 靠 访问 控制 完成 的 。 访 问 控 制 是 一 项 特殊 的 任务 ， 它 用 标识 符 ID 做 关 
键 字 来 控制 用 户 访问 的 程序 和 数据 。 访 问 控 制 主 要 用 在 关键 节点 、 主 机 和 服务 器 上 ， 一 般 
节点 很 少 用 。 如 果 在 一 般 节点 上 增加 访问 控制 功能 ， 则 应 该 安装 相应 的 授权 软件 。 在 实际 
应 用 中 ， 通 常 需 要 从 用 户 类 型 、 应 用 资源 以 及 访问 规则 3 个 方面 来 明确 用 户 的 访问 权限 。 
@ ”用 户 类 型 。 对 于 一 个 已 经 被 系统 识别 和 认证 了 的 用 户 ， 还 要 对 它 的 访问 操作 实施 
一 定 的 限制 。 对 于 一 个 通用 计算 机 系统 来 讲 ， 用 户 范围 很 广 ， 层 次 不 同 ， 权 限 也 
不 同 。 用 户 类 型 一 般 有 系统 管理 员 、 一 般 用 户 、 审 计 用 户 和 非法 用 户 。 系 统管 理 
员 权限 最 高 ， 可 以 对 系统 的 任何 资源 进行 访问 ， 并 具有 所 有 类 型 的 访问 操作 权力 。 
一 般 用 户 的 访问 操作 要 受到 一 定 的 限制 ， 根 据 需要 ， 系 统管 理 员 为 这 类 用 户 分 配 
不 同 的 访问 操作 权力 。 审 计 用 户 负责 对 整个 系统 的 安全 控制 与 资源 使 用 情况 进行 
审计 。 非 法 用 户 则 被 取消 访问 权力 或 者 被 拒绝 访问 系统 。 
@ ”应 用 资源 。 系 统 中 的 每 个 用 户 共同 分 享 系统 资源 。 系 统 内 需要 保护 的 是 系统 资源 ， 
因此 需要 对 保护 的 资源 定义 一 个 访问 控制 包 (Access Control Packet，ACP), 访问 控 
制 包 对 每 一 个 资源 或 资源 组 勾画 出 一 个 访问 控制 列表 (Access Control List，ACL)， 
它 描述 哪个 用 户 可 以 使 用 哪个 资源 以 及 如 何 使 用 。 
@ ”访问 规则 。 访 问 规则 定义 了 若干 条 件 ， 在 这 些 条 件 下 可 准许 访问 一 个 资源 。 一 般 
来 讲 ， 规 则 使 用 户 和 资源 配对 ， 然 后 指定 用 户 可 以 在 该 资源 上 执行 哪些 操作 ， 如 
只 读 、 不 允许 执行 或 不 许 访问 。 由 负责 实施 安全 策略 的 系统 管理 人 员 根 据 最 小 特 
权 原 则 来 确定 这 些 规则 ， 即 在 授予 用 户 访问 某 种 资源 的 权限 时 ， 只 给 访问 该 资源 
的 最 小 权限 。 例 如 ， 用 户 需 要 读 权 限时 ， 则 不 应 该 授予 读 写 权 限 。 
(3) 访问 控制 。 
访问 控制 是 对 用 户 合法 使 用 资源 的 认证 和 控制 ， 目 前 信息 系统 的 访问 控制 主要 是 基于 
角色 的 访问 控制 Role Based Access Control，RBAC) 机 制 及 其 扩展 模型 。RBAC 机 制 主要 由 
基于 模型 的 RBAC96 构成 ， 一 个 用 户 先 由 系统 分 配 一 个 角色 ， 如 管理 员 、 普 通用 户 等 ， 登 
录 系 统 后 ， 根 据 用 户 角色 所 设置 的 访问 策略 实现 对 资源 的 访问 ， 显 然 ， 同 样 的 角色 可 以 访 
问 同样 的 资源 。 RBAC 机 制 是 基于 互联 网 OA 系统 、 银 行 系统 、 网 上 商店 等 系统 的 访问 控制 
方法 。 对 物 联 网 而 言 ， 末 端 是 感知 网 络 ， 可 能 是 一 个 感知 节点 或 一 个 物体 ， 采 用 用 户 角色 
的 形式 进行 资源 控制 显得 不 够 灵活 。 因 为 ， 一 是 本 身 基 于 角色 的 访问 控制 在 分 布 式 的 网 络 
环境 中 已 呈现 出 不 适应 的 地 方 ， 如 对 具有 时 间 约 柬 资源 访问 控制 、 访 问 控制 的 多 层次 适应 
性 等 方面 需要 进一步 探讨 ， 二 是 节点 不 是 用 户 ， 是 各 类 传感器 或 其 他 设备 ， 且 种 类 繁多 ， 
基于 角色 的 访问 控制 机 制 中 角色 类 型 无 法 一 一 对 应 这 些 节点 , 因此 使 RBAC 机 制 难以 实现 ; 
三 是 物 联网 表现 的 是 信息 的 感知 互动 过 程 ， 包 含 了 信息 的 处 理 、 决 策 和 控制 等 过 程 ， 反 向 
控制 是 物 物 互 联 的 特征 之 一 。 
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3. 位 置 服务 安全 与 隐私 


随 着 感知 定位 技术 的 发 展 ， 人 们 可 以 更 加 快速 、 精 确 地 获知 自己 的 位 置 ， 基 于 位 置 的 
服务 (Location Based Service，LBS) 应 运 而 生 。 利 用 用 户 的 位 置信 息 ， 服 务 提供 商 可 以 提供 
一 系列 的 便捷 服务 。 例 如 ， 当 用 户 在 逛街 时 感到 饿 了 ， 他 们 可 以 快速 地 搜索 其 所 在 地 点 附 
近 的 餐馆 ， 并 可 以 获取 每 家 餐馆 的 菜单 ， 可 以 提前 选 定 一 家 餐馆 ， 选 定 要 吃 的 饭菜 并 发 出 
预订 ， 然 后 就 可 以 在 指定 的 时 间 段 “上 门 ” 消 费 了 ， 从 而 可 以 大 大 缩短 等 待 的 时 间 。 又 如 ， 
LBS 服务 提供 商 可 以 根据 用 户 的 位 置 ， 向 用 户 推荐 其 所 在 地 附近 的 旅游 景点 ， 并 能 附 上 相 
关 的 介绍 。 此 类 服务 目前 已 经 在 手机 平台 获得 了 大 量 的 应 用 ， 只 要 拥有 一 部 带 有 GPS 定位 
功能 的 手机 ， 用 户 就 可 以 随时 享受 到 物 联网 所 带 来 的 生活 上 的 便捷 。 

心怀 区 测 的 攻击 者 通过 以 下 手段 穷 取 用 户 的 位 置信 息 。 

(1) 用 户 和 服务 提供 商 之 间 的 通信 线路 遭受 到 攻击 者 的 窃听 ， 当 用 户 发 送 位 置信 息 给 
服务 提供 商 的 时 候 ， 攻 击 者 就 会 获得 相应 的 位 置信 息 。 

(2) 服务 提供 商 对 用 户 的 位 置信 息 保护 不 力 。 服 务 提供 商 可 能 会 在 自己 的 数据 库 中 存 
储 用 户 的 位 置信 息 。 攻 击 者 攻陷 服务 提供 商 的 数据 库 ， 就 可 以 获得 用 户 的 位 置信 息 。 

(3) 服务 提供 商 与 攻击 者 流光 一 气 ， 甚 至 服务 提供 商 本 身 就 是 由 攻击 者 伪装 而 成 的 。 
在 这 种 情况 下 ， 假 如 用 户 将 自己 的 位 置信 息 对 服务 提供 商 合 盘 托 出 ， 那 么 用 户 的 位 置 隐私 
就 可 以 说 已 经 完全 暴露 在 攻击 者 的 面前 了 。 

保护 用 户 的 位 置 隐私 已 刻不容缓 。 物 联网 的 主要 市 场 将 是 商业 应 用 ， 在 商业 应 用 中 存 
在 大 量 需要 保护 知识 产权 的 产品 ， 包 括 电子 产品 和 软件 等 。 在 物 联网 的 应 用 中 ， 对 电子 产 
品 的 知识 产权 保护 将 会 提高 到 一 个 新 的 高 度 ， 对 应 的 技术 要 求 也 是 一 项 新 的 挑战 。 


4. 云 安全 与 隐私 


云 计 算 为 众多 用 户 提供 了 一 种 新 的 高 效率 的 计算 模式 。 它 将 计算 任务 分 布 在 由 大 量 计 
算 机 构成 的 资源 池上 ， 使 各 种 应 用 系统 能 够 根据 需要 获取 计算 能 力 、 存 储 空间 和 信息 服务 。 
云 计 算 中 的 “ 云 ” 是 一 种 隐喻 ， 指 代 基于 互联 网 的 系统 平台 。 在 云 的 背后 隐藏 着 大 量 的 计 
算 资 源 ， 包 括 软 件 和 硬件 ， 如 分 布 式 计算 软件 、 计 算 机 集群 、 存 储 设备 、 网 络 基础 设施 等 。 
借助 互联 网 技术 ， 计 算 资源 好 像 用 电 一 样 取 用 方便 ， 而 且 从 某 种 程度 上 可 以 适当 改变 企业 
IT 成 本 控制 。 

1) ”基于 云 计算 的 物 联网 系统 

物 联网 在 应 用 过 程 中 呈现 出 诸多 云 计算 的 特征 ， 如 对 资源 的 大 规模 和 海量 需求 、 资 源 
负载 变化 大 、 以 服务 方式 提供 计算 能 力 等 ， 从 而 适合 采用 云 计算 技术 建立 物 联网 应 用 系统 。 

基于 云 计算 的 物 联 网 应 用 系统 主要 由 云 基础 设施 、 云 平台 、 云 应 用 和 云 管理 4 部 分 
组 成 。 

(1) 云 基 础 设施 。 

云 基础 设施 是 指 通 过 物理 资源 虚拟 化 技术 ， 使 得 平台 上 运行 的 不 同行 业 应 用 以 及 同一 
行业 应 用 的 不 同 客户 间 的 资源 (存储 、CPU 等 ) 实 现 共享 并 提供 资源 需求 的 弹性 伸缩 ; 通过 
服务 器 集群 技术 ， 将 一 组 服务 器 关联 ， 使 其 在 外 界 看 来 如 同一 台 服 务 器 ， 从 而 改善 平台 的 
整体 性 能 。 
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(2) 云 平台 。 

云 平台 是 物 联网 运营 云 平台 的 核心 ， 实 现 网 络 节点 的 配置 和 控制 、 信 息 的 采集 和 计算 。 
可 以 采用 分 布 式 存储 、 分 布 式 计 算 技术 实现 对 海量 数据 的 分 析 处 理 ， 以 满足 数量 大 且 实时 
性 高 的 数据 处 理 要 求 。 

(3) 云 应 用 。 

云 应 用 用 于 实现 行业 应 用 的 业务 流程 ， 可 以 作为 物 联网 运营 平台 的 一 部 分 ， 也 可 以 继 
承 第 三 方 行业 应 用 ， 但 在 技术 上 应 通过 应 用 虚拟 化 技术 ， 实 现 多 租户 ， 让 一 个 物 联网 行业 
应 用 的 多 个 不 同 租户 共享 存储 、 计 算 能 力 等 资源 ， 提 高 资源 利用 率 ， 降 低 运营 成 本 ， 在 共 
享 资源 的 同时 又 相互 隔离 ， 保 证 用 户 数据 的 安全 性 。 

(4) 云 管理 。 

云 管理 采用 了 弹性 资源 伸缩 机 制 ， 用 户 占 用 的 电信 运营 商 资源 随 着 时 间 在 不 断 变化 ， 
需要 平台 提供 按 需 计 费 的 支持 能 

2) 云 计 算 与 物 联网 的 融合 

云 计算 与 物 联网 各 自 具备 了 很 多 优势 ， 将 两 者 有 机 融合 能 具有 更 高 的 应 用 效益 。 云 计 
算 与 物 联网 的 融合 有 3 种 模式 。 

(1) 单 中 心 一 多 终端 模式 。 

这 类 模式 分 布 在 范围 较 小 的 各 类 物 联网 终端 (传感器 、 摄 像 头 或 4G 手机 等 )， 把 云 中 心 
或 部 分 云 中 心 作为 数据 处 理 中 心 ， 终 端 获 得 的 信息 、 数 据 由 云 中 心 统一 进行 处 理 及 存储 ， 
云 中 心 提供 统一 界面 给 使 用 者 操作 或 者 查看 。 这 类 应 用 非常 多 ， 如 小 区 及 家 庭 的 监控 、 对 
某 一 高 速 路 段 的 监控 等 。 

(2) 多 中 心 一 大 量 终端 模式 。 

对 于 很 多 区 域 跨度 加 大 的 企业 、 单 位 而 言 ， 该 模式 较 适 合 。 如 一 个 跨 多 地 区 或 者 多 国 
家 的 企业 ， 其 分 公司 较 多 ， 要 对 其 各 个 公司 或 工厂 的 生产 流程 进行 监控 、 对 相关 的 产品 进 
行 质量 跟踪 等 。 

(3) 信息 、 应 用 分 层 处 理 一 海量 终端 模式 。 

针对 用 户 范围 广 、 信 息 及 数据 种 类 繁多 、 安 全 性 要 求 高 等 特征 提出 的 一 种 融合 模式 。 
当前 ， 客 户 端 对 各 种 海量 数据 的 处 理 需 求 越 来 越 多 ， 要 根据 客户 需求 及 云 中 心 的 分 布 进 行 
合理 的 资源 分 配 。 

5. 信息 隐藏 和 版 权 保护 


物 联 网 的 兴起 和 发 展 ， 使 得 人 与 物 、 物 与 物 之 间 的 交互 更 加 紧密 ， 它 将 越 来 越 广泛 地 
应 用 于 现代 社会 的 政治 、 经 济 、 文 化 、 教 育 、 科 学 研究 与 社会 生活 的 各 个 领域 ， 有 效 地 提 
高 社会 经 济 效益 ， 节 约 成 本 ， 让 民众 可 以 随时 随地 享受 科技 智慧 带 来 的 服务 。 然 而 ， 物 联 
网 中 万 物 相关 的 数据 和 信息 中 ， 有 些 数 据 会 直接 关系 到 国家 的 机 密 、 企 业 与 个 人 的 隐私 等 ， 
保护 这 些 数据 的 安全 性 至 关 重 要 ， 已 经 成 为 物 联网 发 展 过 程 中 面临 的 一 个 重要 挑战 。 

物 联 网 的 安全 基本 与 其 他 IT 系统 的 安全 一 样 ， 主 要 包括 信息 系统 的 安全 机 密 性 、 完 整 
可 靠 性 、 真 实 可 信 性 、 通 信 对 象 的 可 信赖 性 和 个 人 信息 的 保密 等 。 随 着 物 联网 以 及 泛 在 网 
的 发 展 ， 产 权 保 护 、 个 人 隐私 的 保护 以 及 所 创造 的 数字 制品 的 保护 等 更 加 成 为 数字 制品 发 
行业 务 首先 要 解决 的 问题 。 
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信息 隐藏 与 数据 加 密 技术 都 是 为 保护 秘密 信息 的 存储 和 传输 ， 使 之 免 遭 攻击 者 的 攻击 
和 破坏 ， 从 而 实现 信息 安全 的 重要 技术 ,但 两 者 有 着 显著 的 区 别 。 信 息 加 密 所 隐藏 的 是 消 
息 的 内 容 ， 攻 击 者 虽然 知道 其 存在 ， 但 难以 提取 其 中 的 信息 ; 而 信息 隐藏 则 是 将 需 保密 的 
信息 “乔装 打扮 ”后 藏匿 在 信息 空间 中 的 一 个 大 且 复 杂 的 子 集中 ， 目 的 是 使 攻击 者 难以 搜 
寻 其 所 在 ， 它 所 隐藏 的 是 信息 的 存在 形式 。 虽 然 信息 隐藏 与 信息 加 密 是 互 不 相同 的 两 类 技 
术 ， 但 两 者 有 密切 的 关系 ， 两 者 的 适当 组 合 运用 可 以 相互 弥补 不 足 之 处 ， 更 好 地 实现 系统 
的 安全 。 

数字 水 印 技术 是 信息 隐藏 技术 的 一 个 重要 分 支 ， 它 在 真 伪 鉴 别 、 隐 项 通信 、 标 识 隐 含 、 
电子 身份 认证 等 方面 具有 重要 的 应 用 价值 。 

数字 水 印 技术 的 研究 始 于 20 世纪 90 年 代 初期 ， 早 期 的 数字 水 印 技术 研究 是 针对 数字 
图 像 进行 的 ,如 Tirlcel 等 人 1993 年 在 关于 该 技术 的 论述 中 首次 提出 了 “电子 水 印 ”electronic 
watermark) 的 说 法 。Schyndel 等 人 在 1994 年 的 ICIP 会 议 上 发 表 了 一 篇 题 为 A Digital 
Watermark 的 论文 ， 正 式 提出 了 “数字 水 印 ” 这 一 术语 ， 同 时 指出 了 其 可 能 的 应 用 。 该 论文 
被 认为 是 一 篇 对 于 数字 水 印 具 有 历史 参考 价值 的 文献 ， 标 志 着 这 一 研究 领域 的 开始 。1996 
年 ， 在 英国 剑桥 牛顿 研究 所 召开 第 一 届 信 息 隐 藏 学 术 研 讨 会 (HW)， 标志 着 信息 隐藏 作为 一 
门 新 学 科 的 诞生 。 这 次 会 议 将 其 重要 分 支 一 一 数字 水 印 作 为 它 的 主要 议题 之 一 ， 同 年 [EEE 
International Conference on Image Processing 等 国际 会 议 也 将 数字 水 印 列 为 专题 。 

随 着 当代 数字 技术 、 各 种 传输 处 理 技术 以 及 多 媒体 制作 的 发 展 ， 数 字 产 品 和 网 络 上 传 
输 的 信息 被 保 真 地 非法 复制 和 散布 变 得 更 加 容易 。 在 开放 的 互联 网 、 物 联网 以 及 泛 在 网 的 
环境 下 ， 如 何 保护 所 传输 信息 的 安全 性 、 可 靠 性 ， 信 息 来 源 的 可 信 性 、 不 可 抵赖 性 ， 如 何 
保护 个 人 隐私 (如 远程 医疗 中 的 电子 病历 、 财 务 收 支 、 位 置信 息 、 兴 趣 爱好 等 )， 如 何 保护 产 
权 等 ， 都 不 是 容易 解决 的 问题 ， 信 息 保密 和 产权 (版 权 ) 保 护 都 可 依赖 于 数字 水 印 技术 。 

数字 水 印 技术 在 图 像 、 视 频 、 音 频 、 文 本 、 数 据 库 等 常规 载体 方面 都 已 经 开展 了 很 多 
研究 工作 ， 并 取得 了 较 好 的 研究 成 果 。 随 着 物 联网 的 兴起 和 发 展 ， 研 究 者 开始 把 在 传统 网 
络 中 广泛 使 用 的 数字 水 印 技术 引入 物 联 网 的 研究 中 。 

一 方面 ， 为 了 保护 用 户 的 隐私 (如 身份 、 地 址 、 路 由 等 ) 不 被 泄露 ， 在 网 上 的 现金 支付 、 
投标 、 拍 卖 、 投 票选 举 等 场合 ， 可 采用 数字 水 印 技术 实现 匿名 支付 、 匿 名 通信 、 匿 名 签字 、 
匿名 选举 等 。 另 一 方面 ， 为 了 隐匿 版 权 信息 ， 常 在 表示 数字 对 象 所 有 权 的 消息 上 附 上 标记 
(Mark)， 如 数字 水 印 (Digital Watermark)、 数 字 指 纹 (Digital Fingerprinb、 产 品 序列 号 (Product 
Serial Number) 等 , 一 旦 发 现 被 非法 复制 , 隐藏 的 标记 就 可 以 识别 出 哪个 客户 的 产品 被 复制 。 

【案例 1】 物 联 网 安全 技术 在 文物 监测 预警 系统 中 的 应 用 

下 面 通过 一 个 简单 的 案例 来 说 明 物 联网 安全 技术 在 实际 中 的 应 用 。 

文物 监测 预警 系统 通过 有 线 网 络 (光纤 、 同 轴 电 缆 、xDSL、 以 太 网 等 ): 和 无 线 网 络 (微波 、 
WLAN、GPRS、4G 等 ) 在 其 闭合 的 环 路 内 传输 视频 、 地 波 等 监测 预警 数据 信号 ， 整 个 体系 
由 前 端的 视频 及 各 类 传感器 信息 采集 传输 系统 、 软 件 控制 管理 平台 、 信 息 存 储 与 检索 、 视 
频 及 传感器 信号 显示 处 理 、 报 警 联 动 处 置 等 多 个 子 系统 构成 。 基 于 物 联网 技术 的 安全 防护 
系统 通过 综合 部 署 和 处 理 各 类 传感器 信息 ， 能 实时 、 形 象 、 真 实地 反映 被 监测 区 域 或 对 象 
的 状态 ， 极 大 地 扩展 了 工作 人 员 能 够 进行 有 效 监 测 的 区 域 范围 ， 可 以 在 恶劣 的 环境 下 代替 
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人 工 实现 全 天 候 、 全 方位 、 大 范围 内 监测 保护 ， 同 时 整合 使 用 各 类 信息 ， 对 非法 入 侵 、 环 
境 变化 等 诸多 异常 事件 进行 更 为 有 效 的 预警 ， 控 制 报警 主机 触发 各 监控 系统 联动 ， 锁 定 当 
前 报警 位 置 ， 查 找 分 析 触 发 源 ， 并 提醒 工作 人 员 进行 及 时 合理 的 处 置 。 

基于 物 联网 技术 的 文物 监测 预警 系统 根据 普通 监测 系统 的 实际 需求 ， 结 合 物 联 网 的 数 
据 处 理 和 传输 过 程 ， 以 及 该 系统 的 特定 功能 要 求 ， 可 以 分 为 4 层 体系 结构 : 感知 层 (监测 区 
域 中 视频 、 地 波 、 红 外 等 各 类 传感器 信息 的 采集 )、 传 输 层 (通过 多 协议 网 关 将 各 类 传感器 信 
息 进行 转换 和 统一 )、 网 络 层 (作为 传感器 数据 和 系统 控制 信息 的 媒介 ， 完 成 数据 的 远程 传 
输 )、 应 用 层 (传感器 数据 处 理 、 报 警 信号 判断 、 报 警 联动 、 控 制 信息 发 送 及 信息 存储 与 检索 
的 综合 管理 处 置 平台 )， 如 图 2-4 所 示 。 
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图 2-4 ”基于 物 联网 安全 技术 的 文物 预警 监测 系统 架构 


文物 监测 预警 系统 是 安防 监测 系统 与 物 联网 技术 相 结 合 的 一 种 典型 应 用 。 文物 监 测 预 
警 系统 旨 在 通过 在 文化 遗址 地 及 周边 地 段 部 署 各 类 型 探测 器 、 传 感 器 和 视频 监视 器 ， 实 现 
对 监控 区 域 的 全 方位 、 多 信息 源 的 实时 监控 ， 有 效 提高 监测 准确 性 ， 提 升 监测 效率 ， 降 低 
管理 人 员 的 劳动 强度 。 同 时 ， 以 采集 的 传感器 数据 为 基础 ， 借 助 计算 机 强大 的 数据 处 理 能 
力 ， 通 过 对 数据 的 协同 分 析 和 智能 决策 ， 实 现 监控 区 域 的 智能 监测 和 联动 控制 。 

由 于 实际 的 系统 设计 和 部 署 过 程 中 情况 比较 复杂 ， 各 个 系统 的 要 求 和 组 网 架构 不 尽 相 
同 ， 但 为 了 保证 各 个 分 系统 可 以 有 效 地 接 入 上 级 平台 ， 便 于 统一 的 调度 管理 ， 各 系统 基本 
上 是 通过 级 联 架 构 来 进行 联网 ， 如 图 2-5 所 示 。 
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图 2-5 文件 预警 监测 系统 的 级 联 架构 


文物 监测 预警 系统 的 主要 功能 包括 : 对 文物 的 实时 监测 和 异常 状态 预警 ， 与 其 他 政府 
部 门 (公安 、 消 防 等 ) 协 作 ， 完 成 突 发 事件 处 置 文物 展示 、 查 询 等 ， 提 供 公众 服务 。 这 就 要 
求 该 系统 必须 包括 专用 网 络 和 公用 Intemet 两 种 接 入 方式 ， 其 中 在 底层 使 用 专用 网 络 将 视频 、 
传感器 等 收集 的 数据 传递 到 所 在 博物 馆 的 监控 室 ， 各 个 博物 馆 再 将 收集 整理 后 的 信息 向 上 
通过 公用 的 Internet 网 络 汇聚 到 各 级 文物 管理 部 门 ， 并 提供 合适 的 接口 ， 从 而 各 级 部 门 都 可 
以 实时 地 监测 、 查 询 辖 区 内 所 有 文物 的 当前 及 历史 状态 ， 在 有 意外 状况 发 生 时 ， 能 迅速 知 
悉 相 关 情 况 ， 采 取 应 对 措施 。 但 可 以 看 到 ， 这 种 系统 架构 中 不 可 避免 地 存在 着 许多 安全 隐 
患 ， 对 信息 的 安全 有 效 传递 构成 威胁 ， 因 此 构建 一 种 针对 此 种 文物 安防 监测 预警 体系 的 安 
全 保护 体系 的 重要 性 不 言 而 喻 。 

信息 安全 系统 是 整个 文物 监测 预警 系统 的 重要 组 成 部 分 。 1 
切 配合 ， 多 角度 、 多 层级 进行 衔接 ， 不 但 对 该 系统 各 个 层次 间 的 信息 传递 过 程 提供 安全 
御 和 保护 ， 而 且 还 对 各 级 子 系统 之 上 的 报警 联动 、 et 
服务 。 文 物 监测 预警 系统 的 信息 安全 保护 ， 需 要 对 各 级 文物 管理 部 门 与 辖区 内 所 有 博物 馆 
的 信息 接 入 点 边界 、 文 物 管理 系统 与 其 他 各 系统 之 间 的 接 入 边界 和 信息 传递 过 程 提供 有 效 
Po 
效 的 同步 更 新 机 制 。 从 安全 保障 的 角度 出 发 ， 信 息 安全 系统 应 该 包括 应 用 安全 、 网 络 安全 、 
系统 安全 、 物 理 安全 ee 通过 这 些 安全 措施 对 系统 提供 相应 的 安全 保证 
体系 。 

在 该 信息 安全 系统 中 , 采用 了 边界 安全 接 入 平台 、 构建 CA 中 心 、 身 份 认证 网 关 、VPN、 
入 侵 检测 、 病 毒 防治 、 漏 洞 扫 描 、 系 统 补丁 、 视 频 水 印 等 技术 手段 ， 从 物理 安全 、 通 信和 
网 络 安全 、 运 行 安全 以 及 信息 安全 4 个 层面 ， 保 证 视频 及 传感器 数据 从 前 端 接 入 后 端 平台 
的 安全 、 文 物 安防 信息 使 用 安全 、 信 息 存储 安全 ， 以 及 各 分 系统 之 间 的 报警 联动 安全 等 ， 
构建 自 上 而 下 的 文物 安全 监测 管理 体系 。 结 合 国家 文物 局 文化 遗产 信息 管理 系统 集成 解决 
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方案 的 安全 策略 要 求 ， 以 及 各 地 方 关于 文物 监控 网 络 的 安全 问题 标准 和 设计 方案 ， 在 系统 
的 设计 中 应 考虑 如 下 几 个 方面 。 

1) “安全 保密 

系统 网 络 中 传输 和 存储 着 大 量 的 敏感 信息 ， 因 此 必须 配置 相应 的 安全 措施 ， 确 保 网 络 
中 信息 的 保密 性 、 完 整 性 、 可 用 性 、 可 查 性 和 可 控 性 。 文 物 监测 预警 系统 网 络 依托 于 文物 
监测 管理 专 网 进行 信息 传输 和 汇总 及 系统 间 协 作 , 使 用 公用 Internet 网 络 作为 公众 服务 的 网 
络 承 载 平台 。 由 于 网 络 上 环境 的 复杂 性 ， 以 及 文物 监测 预警 系统 信息 安全 的 敏感 性 ， 必 须 
从 技术 和 管理 两 个 层面 保障 网 络 的 安全 。 其 一 是 对 于 涉及 国家 秘密 的 文物 信息 ， 在 网 络 上 
应 采取 加 密 传 输 、 处 理 与 存储 ; 其 二 是 采取 相应 的 物理 安全 隔离 手段 ， 保 证 视频 和 传 感 信 
息 专 网 之 间 进 行 安全 可 控 的 信息 传递 和 交换 。 

2) “安全 认证 和 访问 机 制 

文物 监测 管理 网 络 涉及 的 人 员 众 多 、 层 次 复杂 ， 包 括 各 级 文物 管理 中 心 的 领导 、 系 统 
管理 人 员 、 系 统 操 作 人 员 ， 以 及 各 个 博物 馆 或 监测 地 的 工作 人 员 等 用 户 。 由 于 人 员 的 工作 
范围 、 工 作 职责 不 同 ， 必 须 建立 一 种 信任 及 信任 验证 机 制 。 要 赋予 不 同 用户 以 不 同 的 操作 
权限 ,保证 用 户 身份 的 唯一 性 , 保证 认证 的 权威 性 ,就 需要 建立 一 套 CA 安全 认证 体系 来 实 
现 。 为 了 保证 传 感 信息 专 网 和 文物 管理 系统 信息 网 络 的 安全 ， 对 于 用 户 ， 要 有 网 络 接 入 控 
制 、 基 于 职责 划分 的 用 户 访问 权限 控制 等 措施 。 通 过 对 各 种 用 户 访问 进行 控制 ， 可 以 有 效 
地 保证 文物 监测 管理 网 络 的 安全 运行 。 

3) ”病毒 防治 、 漏 洞 扫描 和 补丁 

由 于 文物 安防 监控 专 网 具有 操作 系统 和 数据 库 软 件 等 产品 ， 对 存在 的 系统 安全 问题 实 
施 被 动 防御 的 同时 , 还 需要 采取 主动 防御 手段 (如 安全 漏洞 扫描 程序 、 主 机 防护 和 加 固 系统 、 
数据 库 防护 系统 ) 来 查找 和 防治 系统 的 安全 隐患 ， 歇 制 安全 问题 的 发 生 。 建 立 跨 平 台 全 网 分 
布 式 病毒 系统 对 网 络 进行 统一 的 病毒 防范 控制 和 管理 ， 及 时 对 操作 系统 漏洞 及 病毒 库 提 供 
更 新 及 分 发 ， 可 以 使 系统 对 于 可 能 出 现 的 紧急 情况 做 出 及 时 的 反应 和 处 理 。 

4) 边界 接 入 安全 

文物 监测 管理 专 网 依托 于 文物 系统 信息 网 络 ， 并 与 之 直接 相连 ， 同 时 政府 或 者 其 他 单 
位 (公安 、 消 防 等 ) 根 据 需要 也 将 接 入 文物 监测 管理 专 网 ， 共 享 前 端的 信息 资源 ; 为 了 实现 对 
于 文物 遗迹 和 展 馆 的 推广 和 展示 ， 还 将 为 公众 提供 服务 接口 。 在 这 些 外 部 网 络 与 文物 安防 
监控 专 网 相互 连接 、 共 享 信息 资源 的 同时 ， 确 保 文物 安防 监控 专 网 及 文物 管理 网 络 的 安全 
就 显得 格外 重要 。 因 此 在 边界 接 入 中 ， 需 要 考虑 接 入 终端 、 接 入 链 路 、 网 络 传输 以 及 接 入 
用 户 的 身份 认证 和 访问 控制 机 制 。 

5) ”安全 审计 和 集中 管理 

对 于 文物 监测 管理 专 网 进行 集中 的 监控 与 审计 ， 实 现 对 该 网 络 的 安全 监控 、 管 理 和 审 
计 等 功能 。 

6) ”数据 备份 与 灾难 恢复 

文物 监测 管理 专 网 开始 接 入 并 运行 后 ， 重 要 的 数据 信息 资料 将 存储 在 各 级 存储 系统 中 ， 
保证 存储 系统 中 的 数据 和 数据 库 不 因 各 种 情况 和 灾难 的 发 生 而 造成 数据 的 损坏 和 丢失 ， 是 
数据 安全 需要 考虑 的 问题 。 文 物 监测 预警 系统 结合 云 计算 的 数据 存储 和 管理 技术 ， 同 时 运 
用 了 集中 式 存储 和 分 布 式 存储 相 结合 的 方式 ， 从 物理 和 还 辑 上 对 数据 进行 备份 和 灾难 恢复 。 
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7) ”数字 水 印 技术 

在 文物 监测 管理 网 络 中 ， 要 将 视频 及 各 种 传 感 信息 协同 处 理 实现 对 于 文物 的 实时 监测 
和 报警 联动 等 功能 ， 因 此 数据 信息 的 安全 性 、 真 实 性 至 关 重 要 。 数 字 水 印 技术 将 水 印 谋 入 
原始 信息 编码 流 中 ， 形 成 含有 水 印信 息 的 原始 信息 码 流 ， 然 后 再 对 原始 码 流 进行 压缩 编码 ， 
形成 带 有 水 印信 息 的 原始 压缩 码 流 。 含 有 水 印信 息 的 数据 信息 码 流 经 过 网 络 传输 至 监测 中 
心 并 进行 后 台 解 码 还 原 处 理 ， 对 压缩 码 流 解码 后 提取 各 种 原始 信息 。 数 字 水 印 技术 可 以 有 
效 防止 视频 和 传感器 信息 在 采集 和 传输 过 程 中 被 恶意 自 改 或 盗 取 ， 确 保 信息 数 据 真 实 可 靠 。 


2.2 物 联 网 安全 技术 措施 


目前 物 联网 的 体系 结构 基于 以 上 分 析 可 以 划分 为 感知 层 、 网 络 层 和 应 用 层 ， 各 个 不 同 
层面 的 安全 性 问题 已 经 有 许多 安全 技术 和 解决 方案 。 但 是 物 联网 的 应 用 是 一 个 基于 三 个 层 
面 的 整体 ， 仅 仅 简单 琶 加 各 个 层面 的 安全 策略 不 能 为 整个 系统 应 用 提供 可 靠 的 安全 保障 。 
目前 国际 学 术 界 针对 物 联网 安全 架构 已 广泛 开展 研究 .Mulligan 等 总 结 和 分 析 了 物 联网 的 研 
究 现状 ， 并 对 物 联网 的 安全 性 问题 做 了 展望 。Leusse 等 提出 了 一 个 基于 物 联网 服务 的 安全 
模型 ， 介 绍 和 分 析 了 其 包含 的 模块 ， 并 从 目前 物 联网 的 主流 体系 架构 出 发 提出 了 相应 的 安 
全 措施 ， 为 建立 物 联网 的 安全 架构 提供 了 理论 参考 框架 。 


2.2.1 物 联网 安全 技术 


作为 一 种 多 网 络 融 合 的 网 络 ， 物 联网 安全 涉及 各 个 网 络 的 不 同 层次 ， 在 这 些 独立 的 网 
络 中 已 实际 应 用 了 多 种 安全 技术 ， 特 别 是 移动 通信 网 和 互联 网 的 安全 研究 已 经 历 了 较 长 的 
时 间 ， 但 对 物 联 网 中 的 感知 网 络 来 说 ， 由 于 资源 的 局 限 性 ， 使 安全 研究 的 难度 较 大 。 下 面 
针对 传 感 网 中 的 安全 问题 进行 讨论 。 

1. 密 钥 管理 机 制 


密 钥 系 统 是 安全 的 基础 ， 是 实现 感知 信息 隐私 保护 的 手段 之 一 。 它 的 安全 需求 主要 体 
现在 以 下 方面 。 

(1) 密 钥 生成 或 更 新 算法 的 安全 性 。 利 用 该 算法 生成 的 密 钥 应 具备 一 定 的 安全 强度 ， 
不 能 被 网 络 攻击 者 轻易 破解 或 者 花 很 小 的 代价 破解 ， 即 加 密 后 应 保障 数据 包 的 机 密 性 。 

(2) 前 向 私密 性 。 对 中 途 退 出 传感器 网 络 或 者 被 俘获 的 恶意 节点 ， 在 周期 性 的 密 钥 更 
新 或 者 撤销 后 无 法 再 利用 先前 所 获知 的 密 钥 信息 生成 合法 的 密 钥 继续 参与 网 络 通信 ， 即 无 
法 参与 报 文 解密 或 者 生成 有 效 的 可 认证 的 报 文 。 

(3) 后 向 私密 性 和 可 扩展 性 。 新 加 入 传感器 网 络 的 合法 节点 可 利用 新 分 发 或 者 周期 性 
更 新 的 密 钥 参与 网 络 的 正常 通信 ， 即 进行 报 文 的 加 解密 和 认证 行为 等 ， 而 且 能 够 保障 网 络 
是 可 扩展 的 ， 即 允许 大 量 新 节点 的 加 入 。 

(4) 抗 同 谋 攻击 。 在 传感器 网 络 中 ， 若 干 节点 被 俘获 后 ， 其 所 掌握 的 密 钥 信 息 可 能 会 
造成 网 络 局 部 范围 的 泄密 ， 但 不 应 对 整个 网 络 的 运行 造成 破坏 性 或 损毁 性 的 后 果 ， 即 密 钥 
系统 要 能 够 抗 同谋 攻击 。 
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2. 数据 处 理 与 隐私 性 


物 联 网 的 数据 要 经 过 信息 感知 、 获 取 、 汇 聚 、 融 合 、 传 输 、 存 储 、 挖 气 、 决 策 和 控制 
等 处 理 流 程 ， 而 末端 的 感知 网 络 几乎 要 涉及 上 述 信息 处 理 的 全 过 程 ， 只 是 由 于 传 感 节点 与 
汇聚 点 的 资源 限制 ， 在 信息 的 挖掘 和 决策 方面 不 占据 主要 的 位 置 。 物 联网 应 用 不 仅 面临 信 
息 采 集 的 安全 性 ， 也 要 考虑 到 信息 传送 的 私密 性 ， 要 求 信息 不 能 被 算 改 和 被 非 授 权 用 户 使 
用 ， 同 时 还 要 考虑 网 络 的 可 靠 、 可 信和 安全 。 物 联网 能 否 大 规模 推广 应 用 ， 很 大 程度 上 取 
决 于 其 是 否 能 够 保障 用 户 数 据 和 隐私 的 安全 。 就 传 感 网 而 言 ， 在 信息 的 感知 采集 阶段 就 要 
进行 相关 的 安全 处 理 , 如 对 RFID 采集 的 信息 进行 轻 量 级 的 加 密 处 理 后 , 再 传送 到 汇聚 节点 。 
这 里 要 关注 的 是 对 光学 标签 的 信息 采集 处 理 与 安全 ， 作 为 感知 端的 物体 身份 标识 ， 光 学 标 
签 显示 了 其 独特 的 优势 ， 而 虚拟 光学 的 加 密 解密 技术 为 基于 光学 标签 的 身份 标识 提供 了 手 
段 ， 基 于 软件 的 虚拟 光学 密码 系统 由 于 可 以 在 光波 的 多 个 维度 进行 信息 的 加 密 处 理 ， 具 有 
比 一 般 传统 的 对 称 加 密 系统 更 高 的 安全 性 ， 数 学 模型 的 建立 和 软件 技术 的 发 展 极 大 地 推动 
了 该 领域 的 研究 和 应 用 推广 。 数 据 处 理 过 程 中 ， 涉 及 基于 位 置 的 服务 与 信息 处 理 过 程 中 的 
隐私 保护 问题 。ACM 于 2008 年 成 立 了 SIGSPATIAL(Special Interest Group on Spatial 
Information)， 致 力 于 空间 信息 理论 与 应 用 研究 。 基 于 位 置 的 服务 是 物 联网 提供 的 基本 功能 ， 
是 定位 、 电 子 地 图 、 基 于 位 置 的 数据 挖掘 和 发 现 、 自 适应 表达 等 技术 的 融合 。 


3. 安全 路 由 协议 


物 联 网 的 路 由 要 跨越 多 类 网 络 ， 有 基于 IP 地 址 的 互联 网 络 路 由 协议 ， 有 基于 标识 的 移 
动 通信 网 和 传 感 网 的 路 由 算法 ， 因 此 我 们 至 少 要 解决 两 个 问题 ， 一 是 多 网 融合 的 路 由 问题 ; 
二 是 传 感 网 的 路 由 问题 。 前 者 可 以 考虑 将 身份 标识 映射 成 类 似 的 瑟 地 址 ， 实 现 基 于 地 址 的 
统一 路 由 体系 ， 后 者 是 由 于 传 感 网 计算 资源 的 局 限 性 和 易 受 到 攻击 的 特点 ， 要 设计 抗 攻 击 
的 安全 路 由 算法 。 目 前 ， 国 内 外 学 者 提出 了 多 种 无 线 传感器 网 络 路 由 协议 ， 这 些 路 由 协议 
最 初 的 设计 目标 通常 是 以 最 小 的 通信 、 计 算 、 存 储 开 销 完成 节点 间 的 数据 传输 ， 但 是 这 些 
路 由 协议 大 都 没有 考虑 到 安全 问题 。 实 际 上 ， 由 于 无 线 传感器 节点 电量 有 限 、 计 算 能 力 有 
限 、 存 储 容量 有 限 以 及 部 署 野 外 等 特点 ， 使 得 它 极 易 受 到 各 类 攻击 。 无 线 传感器 网 络 路 由 
协议 常 受到 的 攻击 主要 有 : 虚假 路 由 信息 攻击 、 选 择 性 转发 攻击 、 污 水 池 攻击 、 虫 洞 攻 击 、 
Hello 洪 泛 攻 击 、 确 认 攻 击 等 。 


4. 认证 与 访问 控制 


认证 是 指使 用 者 采用 某 种 方式 来 证 明 自 己 确实 是 自己 宣称 的 某 人 ， 网 络 中 的 认证 主要 
包括 身份 认证 和 消息 认证 。 身 份 认 证 可 以 使 通信 双方 确信 对 方 的 身份 并 交换 会 话 密 钥 。 保 
密 性 和 及 时 性 是 认证 密 钥 交 换 中 的 两 个 重要 问题 。 为 了 防止 假冒 和 会 话 密 钥 的 泄密 ， 用 户 
标识 和 会 话 密 钥 这 样 的 重要 信息 必须 以 密 文 的 形式 传送 ， 这 就 需要 事先 已 有 能 用 于 这 一 目 
的 的 主 密 钥 或 公 钥 。 因 为 可 能 存在 消息 重 放 ， 所 以 及 时 性 非常 重要 ， 在 最 坏 的 情况 下 ， 攻 
击 者 可 以 利用 重 放 攻击 威胁 会 话 密 钥 或 者 成 功 假冒 另 一 方 。 消 息 认 证 中 主要 是 接收 方 希望 
能 够 保证 其 接收 的 消息 确实 来 自 真正 的 发 送 方 。 有 时 收发 双方 不 同时 在 线 ， 例 如 在 电子 邮 
件 系统 中 ， 电 子 邮件 消息 发 送 到 接收 方 的 电子 邮件 中 ， 并 一 直 存 放 在 邮箱 中 直至 接收 方 读 
取 为 止 。 广 播 认 证 是 一 种 特殊 的 消息 认证 形式 ， 在 广播 认证 中 一 方 广播 的 消息 被 多 方 认证 。 
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传统 的 认证 是 区 分 不 同 层次 的 ， 网 络 层 的 认证 就 负责 网 络 层 的 身份 鉴别 ， 业 务 层 的 认证 就 
负责 业务 层 的 身份 鉴别 ， 两 者 独立 存在 。 但 是 在 物 联网 中 ， 业 务 应 用 与 网 络 通信 紧 紧 地 绑 
在 一 起 ， 认 证 有 其 特殊 性 。 例 如 ， 当 物 联网 的 业务 由 运营 商 提供 时 ， 那 么 就 可 以 充分 利用 
网 络 层 认 证 的 结果 而 不 需要 进行 业务 层 的 认证 ; 当 业 务 是 敏感 业务 时 (如 金融 类 业务 )， 一 般 
业务 提供 者 会 不 信任 网 络 层 的 安全 级 别 ， 而 使 用 更 高 级 别 的 安全 保护 ， 那 么 这 个 时 候 就 需 
要 做 业务 层 的 认证 ;而 当 业 务 是 普通 业务 时 ， 如 气温 采集 业务 等 ， 业 务 提供 者 认为 网 络 认 
证 已 经 足够 ， 那 么 就 不 再 需要 业务 层 的 认证 。 在 物 联 网 的 认证 过 程 中 ， 传 感 网 的 认证 机 制 
是 重要 的 研究 部 分 ， 无 线 传感器 网 络 中 的 认证 技术 主要 包括 基于 轻 量 级 公 钥 算法 的 认证 技 
术 、 基 于 预 共享 密 钥 的 认证 技术 、 随 机 密 钥 预 分 布 的 认证 技术 、 利 用 辅助 信息 的 认证 方法 、 
基于 单 向 散 列 函 数 的 认证 方法 等 。 

(1) 基于 轻 量 级 公 钥 算法 的 认证 技术 。 鉴 于 经 典 的 公 钥 算法 需要 高 计算 量 ， 在 资源 有 
限 的 无 线 传感器 网 络 中 不 具有 可 操作 性 ， 当 前 有 一 些 研究 正 致力 于 对 公 钥 算法 进行 优化 设 
计 ， 使 其 能 适用 于 无 线 传感器 网 络 ， 但 在 能 耗 和 资源 方面 还 存在 很 大 的 改进 空间 ， 如 基于 
RSA 公 钥 算法 的 TinyPK 认证 方案 ， 以 及 基于 身份 标识 的 认证 算法 等 。 

(2) 基于 预 共享 密 钥 的 认证 技术 。SNEP 方案 中 提出 两 种 配置 方法 : @ 节 点 之 间 的 共享 
密 钥 ，@@ 每 个 节点 和 基站 之 间 的 共享 密 钥 。 这 类 方案 使 每 对 节点 之 间 共 享 一 个 主 密 钥 ， 可 
以 在 任何 一 对 节点 之 间 建 立 安全 通信 。 缺 点 表现 为 扩展 性 和 抗 俘获 能 力 较 差 ， 任 意 一 节点 
被 俘获 后 就 会 暴露 密 钥 信 息 ， 进 而 导致 全 网 络 瘫痪 。 

(3) 基于 单 向 散 列 函 数 的 认证 方法 。 该 类 方法 主要 用 在 广播 认证 中 ， 由 单 向 散 列 函数 
生成 一 个 密 钥 链 ， 利 用 单 向 散 列 函数 的 不 可 逆 性 ， 保 证 密 钥 不 可 预测 。 通 过 某 种 方式 依次 
公布 密 钥 链 中 的 密 钥 ， 可 以 对 消息 进行 认证 。 

5. 入 侵 检测 与 容 侵 容错 技术 


容 侵 就 是 指 在 网 络 中 存在 恶意 入 侵 的 情况 下 ， 网 络 仍然 能 够 正常 地 运行 。 无 线 传 感 器 
网 络 的 安全 隐患 在 于 网 络 部 署 区 域 的 开放 特性 以 及 无 线 电网 络 的 广播 特性 ， 攻 击 者 往往 利 
用 这 两 个 特性 ， 通 过 阻碍 网 络 中 节点 的 正常 工作 ， 进 而 破坏 整个 传感器 网 络 的 运行 ， 降 低 
网 络 的 可 用 性 。 无 人 值守 的 恶劣 环境 导致 无 线 传感器 网 络 缺 少 传统 网 络 中 的 物理 上 的 安全 ， 
传感器 节点 很 容易 被 攻击 者 俘获 、 毁 坏 或 攻击 。 现 阶段 ， 无 线 传感器 网 络 的 容 侵 技术 主要 
集中 于 网 络 的 拓扑 容 侵 、 安 全 路 由 容 侵 以 及 数据 传输 过 程 中 的 容 侵 机 制 。 

无 线 传感器 网 络 可 用 性 的 另 一 个 要 求 是 网 络 的 容错 性 。 一 般 意义 上 的 容错 性 是 指 在 故 
障 存在 的 情况 下 系统 不 失效 ， 仍 然 能 够 正常 工作 的 特性 。 无 线 传感器 网 络 的 容错 性 指 的 是 
当 部 分 节点 或 链 路 失效 后 ， 网 络 能 够 进行 传输 数据 的 恢复 或 者 网 络 结构 自 愈 ， 从 而 尽 可 能 
减 小 节点 或 链 路 失效 对 无 线 传感器 网 络 功 能 的 影响 。 由 于 传感器 节点 在 能 量 、 存 储 空间 、 
计算 能 力 和 通信 带宽 等 诸多 方面 都 受 限 ， 而 且 通 常 工作 在 恶劣 的 环境 中 ， 网 络 中 的 传感器 
节点 经 常会 出 现 失 效 的 状况 。 因 此 ， 容 错 性 成 为 无 线 传感器 网 络 中 一 个 重要 的 设计 因素 ， 
容错 技术 也 是 无 线 传感器 网 络 研 究 的 一 个 重要 领域 。 


6. 决策 与 控制 安全 


物 联 网 的 数据 是 一 个 双向 流动 的 信息 流 : 一 是 从 感知 端 采集 物理 世界 的 各 种 信息 ， 经 
过 数据 的 处 理 ， 存 储 在 网 络 的 数据 库 中 ; 二 是 根据 用 户 的 需求 ， 进 行 数据 的 挖掘 、 决 策 和 
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控制 ， 实 现 与 物理 世界 中 任何 互联 物体 的 互动 。 在 数据 采集 处 理 中 我 们 讨论 了 相关 的 隐私 
性 等 安全 问题 ， 而 决策 控制 又 将 涉及 另 一 个 安全 问题 ， 如 可 靠 性 等 。 
2.2.2 ” 物 联 网 安全 管理 


物 联 网 的 安全 问题 一 直 是 物 联网 发 展 的 巨大 障碍 ， 物 联网 存在 许多 隐患 ， 具 体 有 感知 
层 、 网 络 层 、 应 用 层 存 在 的 安全 性 。 前 面 讨 论 了 物 联 网 的 安全 问题 ， 其 具体 思路 如 图 2-6 
所 示 。 
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安全 目标 和 特性 
1 





安全 体系 和 方案 设计 


一 中 基于 现 有 成 熟 的 | | 基于 现 有 原 语 
安全 标准 构造 | | 构造 新 的 工具 


安全 策略 和 机 制 


图 2-6 物 联 网 安全 管理 的 一 般 思路 


图 2-7 是 Intel 公司 的 安全 管理 平台 ， 提 供 了 对 物 联网 节点 的 选用 、 配 置 、 安 全 和 管理 
功能 。 物 联网 不 再 由 人 来 进行 控制 ， 而 是 由 机 器 构成 了 庞大 的 设备 集群 ， 因 此 也 就 在 网 络 
安全 方面 产生 了 问题 ， 如 : 物 联网 本 地 节点 的 安全 问题 、 节 点 信息 在 网 络 中 的 传输 安全 问 
题 、 核 心 网 络 的 信息 安全 问题 、 物 联网 中 的 业务 安全 问题 。 
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产品 选用 |。 产品 配置 

WimT 全 > | 
图 2.7 安全 管理 平台 

2.3 ”物理 安全 威胁 与 防范 措施 


物 联 网 源 于 互联 网 ， 因 此 ， 物 联网 继承 了 互联 网 的 物理 特性 ， 物 联网 中 也 存在 物理 安 
全 威胁 。 本 节 介绍 物 联网 的 物理 安全 威胁 与 防范 措施 。 
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2.3.1 ”物理 安全 概述 


物理 安全 主要 是 指 通过 物理 隔离 来 实现 网 络 安全 ， 可 有 效 防范 网 络 入 侵 和 网 络 诈骗 等 
问题 。 物 理 隔 离 是 指 内 部 网 不 直接 或 间接 地 连接 公共 网 。 物 理 安全 的 目的 是 保护 路 由 器 、 
工作 站 、 网 络 服务 器 等 硬件 实体 和 通信 和 链 路 免 受 自然 灾害 、 人 为 破坏 和 搭 线 窃听 攻击 。 如 
只 有 使 内 部 网 和 公共 网 物理 隔离 ， 才 能 真正 保证 政府 机 关 的 内 部 信息 网 络 不 受 来 自 互 联网 
的 黑客 攻击 。 此 外 ， 物 理 隔离 也 为 政府 内 部 网 划 定 了 明确 的 安全 边界 ， 使 得 网 络 的 可 控 性 
增强 ， 便 于 内 部 管理 。 

在 实行 物理 隔离 之 前 ， 我 们 对 网 络 的 信息 安全 有 许多 措施 ， 如 在 网 络 中 增加 防火 墙 、 
防 病毒 系统 ， 对 网 络 进行 入 侵 检测 、 漏 洞 扫描 等 。 但 由 于 其 复杂 性 与 有 限 性 ， 这 些 在 线 分 
析 技 术 无 法 提供 某 些 机 构 ( 如 军事 、 政 府 、 金 融 等 ) 提 出 的 高 度数 据 安全 要 求 。 而 且 ， 此 类 基 
于 软件 的 保护 是 一 种 逻辑 机 制 ， 对 于 逻辑 实体 而 言 极 易 被 操纵 。 后 面 的 逻辑 实体 指 黑客 、 
内 部 用 户 等 。 正 因为 如 此 ， 我 们 的 涉 密 网 不 能 把 机 密 数 据 的 安全 完全 寄托 在 用 概率 来 做 判 
断 的 防护 上 ， 必 须 有 一 道 绝对 安全 的 大 门 ， 保 证 涉 密 网 的 信息 不 被 泄露 和 破坏 ， 这 就 是 物 
理 隔离 所 起 的 作用 。 


2.3.2 ”环境 安全 威胁 与 防范 


因为 物 联网 节点 通常 都 是 采用 无 人 值守 的 方式 ， 且 都 是 部 署 物 联网 设备 完毕 之 后 ， 再 
将 网 络 连接 起 来 ， 所 以 ， 如 何 对 物 联网 设备 进行 远程 业务 信息 配置 和 签约 信息 配置 就 成 为 
一 个 值得 思考 的 问题 。 与 此 同时 ， 多 样 化 且 数 据 容量 庞大 的 物 联网 平台 必须 有 统一 且 强 大 
的 安全 管理 平台 ， 不 然 的 话 ， 各 式 各 样 物 联网 应 用 会 立即 将 独立 的 物 联 网 平台 淹没 ， 这 样 
很 容易 将 业务 平台 与 物 联网 网 络 两 者 之 间 的 信任 关系 割裂 开 来 ， 产 生 新 的 安全 问题 。 对 于 
核心 网 络 的 传输 与 信息 安全 问题 ， 虽 然 核心 网 络 所 具备 的 安全 保护 能 力 相 对 较 完整 ， 但 是 
由 于 物 联网 节点 都 是 以 集群 方式 存在 ， 且 数量 庞大 ， 这 样 一 来 ， 就 很 容易 使 大 量 的 物 联网 
终端 设备 数据 同时 发 送 而 造成 网 络 拥塞 ， 从 而 产生 拒绝 服务 攻击 。 另 外 ， 目 前 物 联网 网 络 
的 安全 架构 往往 都 是 基于 人 的 通信 和 角度 来 进行 设计 的 ， 并 不 是 从 人 机 交互 性 的 角度 出 发 
这 样 就 将 物 联网 设备 间 的 逻辑 关系 进行 了 割裂 。 


2.3.3 设备 安全 问题 与 策略 


物 联 网 的 设备 有 : 条 码 、 射 频 识 别 (RFID)、 传 感 器 、 全 球 定位 系统 、 激 光 扫 描 器 等 信 
息 传 感 设备 。 物 联网 由 机 器 构成 了 庞大 的 设备 集群 ， 在 网 络 安全 方面 产生 的 问题 主要 有 : 
物 联 网 本 地 节点 的 安全 问题 、 节 点 信息 在 网 络 中 的 传输 安全 问题 、 核 心 网 络 的 信息 安全 问 
题 、 物 联网 中 的 业务 安全 问题 。 

(1) 物 联网 本 地 节点 的 安全 问题 。 物 联网 的 机 器 节点 大 多 在 无 人 监控 的 场所 进行 部 署 ， 
它 是 用 机 器 代替 人 来 完成 复杂 问题 的 处 理 ， 因 此 也 就 导致 这 些 节 点 可 以 人 为 地 通过 更 换 软 
硬件 进行 机 器 的 破坏 。 

(2) 节点 信息 在 网 络 中 的 传输 安全 问题 。 由 于 物 联网 中 的 节点 对 于 数据 的 传送 没有 统 
一 的 协议 ， 并 且 它 的 功能 相对 比较 简单 ， 因 此 也 就 不 能 产生 复杂 、 统 一 的 安全 保护 模式 。 
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(3) 核心 网 络 的 信息 安全 问题 。 相 对 地 ， 节 点 核心 网 的 安全 体系 比较 完整 ， 但 是 核心 
网 也 是 由 各 个 节点 组 成 的 ， 且 以 集群 的 方式 形成 数目 庞大 的 节点 群 ， 所 以 当 大 量 数据 进行 
传播 时 ， 会 导致 网 络 堵塞 ， 产 生 网 络 假死 。 

(4) 物 联网 中 的 业务 安全 问题 。 大 部 分 的 物 联网 是 通过 事先 部 署 节点 然后 进行 网 络 连 
接 的 ， 连 接 后 各 个 节点 是 没有 人 员 监 控 的 ， 当 用 户 利用 物 联网 进行 业务 往来 时 就 存在 了 安 
全 问题 ， 因 此 提供 一 个 统一 、 强 大 的 安全 管理 平台 就 成 为 一 个 新 的 问题 。 

针对 以 上 的 物 联网 安全 问题 ， 可 以 采用 以 下 策略 和 技术 来 解决 ， 在 物 联网 的 不 同 层 中 
应 用 不 同 的 技术 分 层 解决 ， 主 要 安全 技术 有 用 户 权限 认证 、 数 据 加 密 技术 、 数 据 读 取 控 制 、 
保护 隐私 和 信息 传输 安全 等 技术 。 不 同 的 技术 需 应 用 到 物 联网 的 不 同 层 次 中 去 ， 如 用 户 权 
限 认 证 需 应 用 到 网 络 传输 层 中 ， 通 过 数字 认证 的 方式 来 识别 客户 身份 是 否 合法 ， 以 此 来 达 
到 客户 信息 安全 保护 的 目的 。 另 外 的 一 种 方案 是 通过 数字 水 印 技术 来 识别 用 户 的 电子 签名 ， 
这 种 方法 更 加 安全 可 靠 ， 当 发 生 争议 的 时 候 我 们 可 以 通过 用 户 数字 水 印 进行 核 查 。 数 据 加 
密 技术 主要 应 用 于 物 联网 底层 ， 保 护 感知 层 的 数据 安全 。 数 据 访问 控制 技术 主要 应 用 于 物 
联网 的 网 络 层 ， 以 保护 数据 的 传输 安全 。 隐 私 保护 和 信息 传输 安全 技术 主要 用 于 物 联网 的 
应 用 层 ， 以 保护 用 户 信 息 的 安全 。 随 着 网 络 信息 化 的 飞速 发 展 ， 物 联网 作为 其 升级 换代 产 
物 ， 将 会 更 广泛 地 应 用 于 人 们 的 生活 及 工作 中 ， 因 此 物 联 网 的 安全 策略 和 技术 显得 尤为 重 
要 。 只 有 充分 保证 系统 稳定 、 网 络 安全 、 平 台 保护 等 问题 ， 物 联网 才能 够 有 更 好 的 发 展 。 


2.3.4 ”RFID 系统 及 物理 层 安全 


1. RFID 系统 的 基本 构成 


RFID 系统 一 般 由 三 部 分 组 成 : 标签 (Tag)、 读 写 器 (Reader) 以 及 后 端 数 据 库 (Back-end 
Database)， 如 图 2-8 所 示 。 
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图 2-8 ”RFID 系统 组 成 


RFID 的 基本 工作 原理 如 下 : 读 写 器 发 射电 磁 波 ， 而 此 电磁 波 有 其 辐射 范围 ， 当 标签 进 
入 此 电磁 波 辐射 范围 时 ， 标 签 将 读 写 器 所 发 射 的 微小 电磁 波 能 量 存储 起 来 ， 并 转换 成 电路 
所 需 的 电能 ， 然 后 将 存储 的 标识 信息 以 电磁 波 的 方式 传送 给 读 写 器 。 标 签 和 读 写 器 之 间 的 
通信 距离 受到 多 个 参数 (特别 是 通信 频率 ) 的 影响 。 

第 一 代 被 动 式 标签 采用 高 频 ， 范 围 为 3M~30MHz， 通 信 距 离 一 般 小 于 lm， 价 格 相对 
便宜 。 典 型 应 用 包括 图 书 管理 系统 、 酒 店 门 锁 管理 、 医 药 和 服装 物流 系统 、 智 能 货架 管理 
系统 等 。 
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第 二 代 被 动 式 标签 采用 超 高 频 ， 范 围 为 300 MHz~3 GHz，3 GHz 以 上 为 微波 范围 ， 典 
型 的 工作 频率 为 433 MHz、860M~960MHz、2.45 GHz、5.8 GHz。 通 信和 距离 一 般 大 于 1m， 
典型 的 为 4~6m， 最 大 可 超过 10m。 超 高 频 阅读 器 有 非常 高 的 数据 传输 速率 ， 在 很 短 的 时 
间 内 可 读 取 大 量 标签 。 超 高 频 的 电子 标签 数据 存储 量 一 般 限定 在 2048 bit 以 内 。EPCglobal 
规定 的 EPC 容量 为 96 bit。 典型 应 用 包括 供应 链 管 理 、 生 产 线 自 动 化 、 航空 ( 铁 路 ) 包 竺 管理 、 
集装箱 管理 等 。 

两 者 的 比较 如 表 2-1 所 示 。 

表 2-1 第 一 代 和 第 二 代 被 动 式 标签 对 比 


超 高 频 (第 二 代 ) 
EPC Gen2GSO 18000-6C 
860 一 960( 区 域 选 择 ) 13.56( 全 球 统一 ) 


通信 距离 /m 3~5 














存储 大 小 /it boio0 | 
读 写 器 价格 /美元 
标签 价格 /美元 
| 供 应 链 、 自 动 化 、 资 产 管理 与 跟踪 。 | 访问 控制 、 安 全 付款 、 验 证 





2. RFID 系统 的 安全 需求 


RFID 当初 的 应 用 设计 是 完全 开放 的 ， 这 是 出 现 安全 隐患 的 根本 原因 。 另 外 ， 对 标签 加 
解密 需要 耗 用 过 多 的 处 理 器 能 力 ， 会 使 标签 增加 额外 的 成 本 ， 因 此 ， 一 些 优秀 的 安全 工具 
未 能 嵌入 标签 的 硬件 中 ， 这 也 是 标签 出 现 安全 隐患 的 重要 原因 。 

1) ”RFID 的 安全 问题 

简单 而 言 ，RFID 的 安全 问题 包括 隐私 问题 和 认证 问题 。 隐 私 问题 是 由 读 写 器 读 标签 时 
无 须 认 证 引起 的 ， 包 括 信息 泄露 问题 和 追踪 问题 ， 认 证 问题 是 由 标签 被 读 取 时 无 须 认证 引 
起 的 ， 包 括 标签 克隆 、 算 改 标签 数据 等。 

广义 的 RFID 系统 的 隐私 保护 包括 两 点 : 一 是 标签 和 读 写 器 之 间 的 隐私 保护 ; 另 一 种 是 
服务 器 中 的 信息 隐私 保护 ， 它 所 关心 的 是 服务 器 包含 什么 样 的 信息 。 本 小 节 主要 讨论 第 一 
种 情况 。 隐私 问题 中 的 信息 泄露 问题 是 指 在 获取 标签 信息 之 后 可 对 RFID 系统 进行 各 种 非 授 
权 使 用 ， 标 签 可 泄露 相关 物体 和 用 户 信息 ， 如 护照 、 身 份 证、 贵重 物品 ， 标 签 持 有 者 可 能 
成 为 抢 动 或 者 盗窃 的 目标 ， 个 人 的 药品 信息 被 他 人 所 知 导致 个 人 的 隐私 泄露 等 。 
隐私 问题 中 的 追踪 问题 是 指 通 过 标签 的 唯一 标识 符 可 恶意 地 追踪 用 户 的 位 置 或 者 行 
为 。 例 如 ， 标 识 在 不 同 的 地 方 两 次 出 现 ， 说 明 用 户 曾经 到 达 了 这 两 个 地 方 。 攻 击 者 可 在 任 
何 地 点 、 任 何 时 间 追 踪 识 别 菜 个 固定 标签 ， 从 而 侵犯 了 用 户 隐私 。 隐 私 问题 可 通过 对 读 写 
器 的 认证 来 解决 ， 认 证 问题 可 通过 对 标签 的 认证 来 解决 。 因 此 ， 读 写 器 和 标签 之 间 的 双向 
认证 是 RFID 系统 的 主要 安全 需求 。 

2) ”RFID 系统 的 安全 需求 

具体 而 言 ， 一 个 安全 的 RFID 系统 应 有 防范 以 下 攻击 的 需求 。 

() 非法 读 取 :非法 者 通过 未 授权 的 读 写 器 读 取 标 签 中 的 数据 信息 。 
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(2) 窃听 : 标签 和 读 写 器 之 间 的 数据 传输 容易 受到 窃听 攻击 。 

(3) 无 前 向 安全 性 : 攻击 者 在 此 次 通信 中 截取 到 了 标签 的 输出 ， 然 后 通过 某 种 推算 可 
以 得 出 标签 以 前 所 发 送 的 信息 。 反 过 来 说 ， 如 果 攻 击 者 不 能 推算 前 面 发 出 的 信息 ， 则 称 为 
前 向 安全 性 (Forward Security)。 

(4) 位 置 跟踪 : 非法 者 通过 标签 发 出 的 固定 消息 来 定位 标签 的 位 置 以 达到 跟踪 的 目的 。 

(5) 伪装 : 非法 者 截取 到 标签 信息 后 ， 把 真实 标签 信息 复制 到 自己 假冒 的 标签 中 。 当 
读 写 器 发 送 认证 消息 给 标签 时 ， 非 法 者 把 自己 复制 的 标签 信息 发 给 读 写 器 ， 以 伪装 成 合法 
标签 通过 读 写 器 的 认证 。 

(6) 重 放 : 当 读 写 器 发 出 认证 信息 时 ， 攻 击 者 截取 了 标签 发 出 的 响应 信息 。 当 下 一 次 
读 写 器 发 出 认证 请 求 时 ， 攻 击 者 把 截取 到 的 信息 发 送 给 读 写 器 ， 从 而 通过 读 写 器 对 它 的 
认证 。 

(7) 拒绝 服务 攻击 : 许多 基于 “挑战 -应 答 ” 方 式 的 协议 都 要 求 每 次 对 标签 进行 访问 时 ， 
标签 都 需要 提供 额外 的 存储 器 来 存储 要 产生 的 随机 数 。 当 大 量 读 写 器 向 标签 发 送 询 问 信 息 
时 ， 标 签 的 存储 器 会 因 要 存储 过 多 的 随机 数 而 停止 工作 。 

3) ”安全 方案 设计 时 的 考虑 因素 

为 了 设计 RFID 的 安全 方案 ,需要 考虑 到 RFID 标签 的 计算 能 力 ， 这 种 计算 能 力 通常 限 
定 了 可 采用 的 安全 方案 。 一 般 可 把 RFID 标签 的 计算 能 力 分 为 以 下 三 类 。 

(1) 基本 标签 : 不 能 执行 加 密 操 作 ， 但 可 执行 XOR 操作 和 简单 的 逻辑 控制 的 标签 。 

(2) 对 称 密码 标签 : 指 能 够 执行 对 称 密 钥 加 密 操 作 的 标签 。 

(3) 公 钥 密码 标签 : 指 能 够 执行 公 钥 加 密 操 作 的 标签 。 

3. RFID 安全 的 物理 机 制 


实现 RFID 安全 性 机 制 所 采用 的 方法 主要 有 三 大 类 : 物理 机 制 、 密 码 机 制 以 及 两 者 相 结 
合 的 方法 。 本 节 介绍 物理 机 制 ， 主 要 有 如 下 几 类 : Kil 命令 机 制 、 休 眼 机 制 、 阻 塞 机 制 、 静 
电 屏 项 、 主 动 干扰 等 方法 。 物 理 机 制 通常 用 于 一 些 低 成 本 的 标签 中 ， 因 为 这 些 标 签 难以 采 
用 复杂 的 密码 机 制 来 实现 与 标签 读 写 器 之 间 的 安全 通信 。 下 面 分 别 加 以 介绍 。 

1) Kill 命令 机 制 

由 Auto-ID Center 提出 的 Kill 命令 机 制 是 解决 信息 泄露 的 一 个 最 简单 的 方法 即 从 物理 
上 毁坏 标签 ， 一 旦 对 标签 实施 了 Kill 命令 ， 标 签 便 不 能 再 次 使 用 (禁用 状态 )。 例 如 ， 超 市 结 
账 时 可 禁用 附着 在 商品 上 的 标签 。 但是， 如 果 RFID 标签 用 于 标识 图 书馆 中 的 书籍 ， 当 书籍 
离开 图 书馆 后 ， 这 些 标 签 是 不 能 被 禁用 的 ， 这 是 因为 当 书 籍 归还 后 还 需要 使 用 相同 的 标签 
再 次 标识 书籍 。 

2) “休眠 (Sleeping) 机 制 

让 标签 处 于 睡眠 状态 ， 而 不 是 禁用 ， 以 后 可 使 用 唤醒 口令 将 其 唤醒 。 困 难 在 于 唤醒 口 
令 需 要 和 标签 相关 联 ， 于 是 这 就 需要 一 个 口令 管理 系统 。 但 是 ， 当 标签 处 于 睡眠 状态 时 ， 
不 可 能 直接 使 用 空中 接口 将 特定 的 标签 和 特定 的 唤醒 口令 相关 联 。 因 此 需要 另 一 种 识别 技 
术 ， 例 如 条 形 码 ， 以 标识 用 于 唤醒 的 标签 ， 这 显然 是 不 理想 的 。 

3) ”阻塞 (Blocking) 机 制 

隐私 比特 0 表示 标签 接受 无 限制 的 公共 扫描 ; 隐私 比特 1 表示 标签 是 私有 的 。 当 商品 
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(2) 窃听 : 标签 和 读 写 器 之 间 的 数据 传输 容易 受到 窃听 攻击 。 

(3) 无 前 向 安全 性 : 攻击 者 在 此 次 通信 中 截取 到 了 标签 的 输出 ， 然 后 通过 某 种 推算 可 
以 得 出 标签 以 前 所 发 送 的 信息 。 反 过 来 说 ， 如 果 攻 击 者 不 能 推算 前 面 发 出 的 信息 ， 则 称 为 
前 向 安全 性 (Forward Security)。 

(4) 位 置 跟踪 : 非法 者 通过 标签 发 出 的 固定 消息 来 定位 标签 的 位 置 以 达到 跟踪 的 目的 。 

(5) 伪装 : 非法 者 截取 到 标签 信息 后 ， 把 真实 标签 信息 复制 到 自己 假冒 的 标签 中 。 当 
读 写 器 发 送 认证 消息 给 标签 时 ， 非 法 者 把 自己 复制 的 标签 信息 发 给 读 写 器 ， 以 伪装 成 合法 
标签 通过 读 写 器 的 认证 。 

(6) 重 放 : 当 读 写 器 发 出 认证 信息 时 ， 攻 击 者 截取 了 标签 发 出 的 响应 信息 。 当 下 一 次 
读 写 器 发 出 认证 请 求 时 ， 攻 击 者 把 截取 到 的 信息 发 送 给 读 写 器 ， 从 而 通过 读 写 器 对 它 的 
认证 。 

(7) 拒绝 服务 攻击 : 许多 基于 “挑战 -应 答 ” 方 式 的 协议 都 要 求 每 次 对 标签 进行 访问 时 ， 
标签 都 需要 提供 额外 的 存储 器 来 存储 要 产生 的 随机 数 。 当 大 量 读 写 器 向 标签 发 送 询 问 信 息 
时 ， 标 签 的 存储 器 会 因 要 存储 过 多 的 随机 数 而 停止 工作 。 

3) ”安全 方案 设计 时 的 考虑 因素 

为 了 设计 RFID 的 安全 方案 ,需要 考虑 到 RFID 标签 的 计算 能 力 ， 这 种 计算 能 力 通常 限 
定 了 可 采用 的 安全 方案 。 一 般 可 把 RFID 标签 的 计算 能 力 分 为 以 下 三 类 。 

(1) 基本 标签 : 不 能 执行 加 密 操 作 ， 但 可 执行 XOR 操作 和 简单 的 逻辑 控制 的 标签 。 

(2) 对 称 密码 标签 : 指 能 够 执行 对 称 密 钥 加 密 操 作 的 标签 。 

(3) 公 钥 密码 标签 : 指 能 够 执行 公 钥 加 密 操 作 的 标签 。 

3. RFID 安全 的 物理 机 制 


实现 RFID 安全 性 机 制 所 采用 的 方法 主要 有 三 大 类 : 物理 机 制 、 密 码 机 制 以 及 两 者 相 结 
合 的 方法 。 本 节 介绍 物理 机 制 ， 主 要 有 如 下 几 类 : Kil 命令 机 制 、 休 眼 机 制 、 阻 塞 机 制 、 静 
电 屏 项 、 主 动 干扰 等 方法 。 物 理 机 制 通常 用 于 一 些 低 成 本 的 标签 中 ， 因 为 这 些 标 签 难以 采 
用 复杂 的 密码 机 制 来 实现 与 标签 读 写 器 之 间 的 安全 通信 。 下 面 分 别 加 以 介绍 。 

1) Kill 命令 机 制 

由 Auto-ID Center 提出 的 Kill 命令 机 制 是 解决 信息 泄露 的 一 个 最 简单 的 方法 即 从 物理 
上 毁坏 标签 ， 一 旦 对 标签 实施 了 Kill 命令 ， 标 签 便 不 能 再 次 使 用 (禁用 状态 )。 例 如 ， 超 市 结 
账 时 可 禁用 附着 在 商品 上 的 标签 。 但是， 如 果 RFID 标签 用 于 标识 图 书馆 中 的 书籍 ， 当 书籍 
离开 图 书馆 后 ， 这 些 标 签 是 不 能 被 禁用 的 ， 这 是 因为 当 书 籍 归还 后 还 需要 使 用 相同 的 标签 
再 次 标识 书籍 。 

2) “休眠 (Sleeping) 机 制 

让 标签 处 于 睡眠 状态 ， 而 不 是 禁用 ， 以 后 可 使 用 唤醒 口令 将 其 唤醒 。 困 难 在 于 唤醒 口 
令 需 要 和 标签 相关 联 ， 于 是 这 就 需要 一 个 口令 管理 系统 。 但 是 ， 当 标签 处 于 睡眠 状态 时 ， 
不 可 能 直接 使 用 空中 接口 将 特定 的 标签 和 特定 的 唤醒 口令 相关 联 。 因 此 需要 另 一 种 识别 技 
术 ， 例 如 条 形 码 ， 以 标识 用 于 唤醒 的 标签 ， 这 显然 是 不 理想 的 。 

3) ”阻塞 (Blocking) 机 制 

隐私 比特 0 表示 标签 接受 无 限制 的 公共 扫描 ; 隐私 比特 1 表示 标签 是 私有 的 。 当 商品 
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生产 出 来 ,并 在 购买 之 前 ， 即 在 仓库 、 运 输 汽 车 、 存 储 货 价 的 时 候 ,标签 的 隐私 比特 置 为 0。 
换 句 话说 ,任何 读 写 器 都 可 扫描 它们 。 当 消费 者 购买 了 使 用 RFID 标签 的 商品 时 ,销售 终端 
设备 将 隐私 比特 设置 为 1。 

4) 法拉第 网 四 

法 拉 第 网 旱 也 称 为 静电 屏蔽 法 。 由 于 无 线 电波 可 被 传导 材料 做 成 的 电容 屏蔽 ， 将 贴 有 
RFID 标签 的 商品 放 入 由 金属 网 罩 或 金属 稍 片 组 成 的 容器 中 ， 可 阻止 标签 和 读 写 器 通信 。 由 
于 每 件 商品 都 需 使 用 一 个 网 量 ， 提 高 了 成 本 。 

5) ”主动 干扰 

标签 用 户 通过 一 个 设备 主动 广播 无 线 电 信号 ， 用 于 阻止 或 破坏 附近 的 RFID 读 写 器 操 
作 。 但 该 方法 可 能 干扰 附近 其 他 合法 的 RFID 系统 ， 甚 至 阻塞 附近 其 他 无 线 电信 号 系统 。 


2.3.5 ”数据 存储 介质 的 安全 


随 着 计算 机 技术 的 发 展 ，USB 接口 成 为 其 必 备 的 接口 之 一 ，USB 通用 串 行 总 线 ， 是 一 
种 连接 外 部 串 行 设备 的 技术 标准 ， 即 计算 机 系统 接 驳 外 围 设备 (如 U 盘 、 移 动 硬盘 、 键 盘 、 
鼠标 、 打 印 机 等 ) 的 输入 /输出 接口 标准 。 

USB 接口 的 传输 速度 高 达 480 Mb/s， 和 串口 115 200b/s 的 速度 相 比 ， 相 当 于 串口 速度 
的 3000 多 倍 ， 完 全 能 满足 需要 大 量 数据 交换 的 外 设 的 要 求 。 同 时 ， 所 有 的 USB 外 设 利用 
通用 的 连接 器 可 简单 方便 地 连 入 计算 机 ， 其 安装 过 程 高 度 自动 化 ， 既 不 必 打 开机 箱 插入 设 
备 ， 也 不 必 考 虑 资源 分 配 ， 更 不 用 关 掉 计算 机 电源 ， 即 可 实现 热 插 拔 。 因 此 ， 通 过 USB， 
使 用 以 U 盘 为 代表 的 移动 存储 介质 来 交换 数据 ， 极 大 地 便 了 数据 交换 ， 提 高 了 存储 便利 性 ， 
因而 获得 了 广泛 应 用 。 但 是 其 方便 性 也 给 我 们 带 来 了 更 大 的 安全 风险 。 

移动 存储 介质 常用 于 开放 环境 中 ， 容 易 丢 失 ， 存 储 的 数据 容易 传播 和 复制 ， 自 身 缺 乏 
有 效 的 审计 和 监管 手段 ， 整 个 数据 移动 通道 的 安全 保密 工作 难以 保障 。 一 旦 发 生 数据 泄漏 
与 丢失 ， 将 给 部 门 或 个 人 造成 不 可 估量 的 经 济 损失 ， 甚 至 可 能 是 政治 损失 。 因 此 ， 针 对 移 
动 介 质 的 安全 解决 方案 成 为 当务之急 。 

近年 来 ，U 盘 作 为 一 种 方便 、 流 行 的 存储 介质 ， 其 应 用 越 来 越 广泛 ， 几 乎 人 人 必 备 。 
然而 通过 TU 盘 导 致 的 资料 丢失 、 泄 密 、 传 播 病毒 等 安全 事件 越 来 越 多 ， 主 要 的 问题 如 下 。 

(1) 任意 U 盘 都 能 在 终端 上 使 用 ， 造 成 管理 混乱 ， 资 料 丢失 。 

(2) U 盘 频 繁 地 在 不 同 终端 的 应 用 ， 成 了 病毒 传播 的 主要 载体 之 一 。 

(3) 对 U 盘 上 文件 的 使 用 没有 跟踪 审计 。 

所 以 要 做 到 数据 存储 的 安全 ， 必 须 做 到 以 下 几 点 。 

(1) 对 数据 加 密 管理 。 

(2) 删除 文件 。 

(3) 禁止 移动 介质 自动 播放 。 


2.4 无线 局 域 网 WLAN 物理 层 安全 协议 


物 联网 中 的 感知 层 终端 系统 ， 如 RFID 读 写 器 、 无 线 传 感 器 网 络 的 网 关节 点 ， 以 及 智能 
手机 ， 都 可 以 通过 无 线 局 域 网 连接 到 Intemet， 因 此 ， 需 要 考虑 无 线 局 域 网 的 安全 。 























41 


42 


物 联网 安全 技术 


2.4.1 IEEE 802.11 标准 中 的 物理 层 特点 


目前 ，WLAN 的 主流 标准 是 IEEE 802.11 系列 标准 。IEEE 802.11 标准 的 物理 层 的 参数 
特点 如 表 2-2 所 示 。 


表 2-2 WLAN 的 IEEE 802.11 标准 特点 














规范 参数 802.11 802.11b 802.11g 802.11a 
工作 频段 /GHz |24 2.4 2.4 ls 

扩 频 方式 [psss/FHss DSSS DSSS/OFDM |orpw 
速率 /(Mb/s) | 1/2 2/5.5/11 11/54 | 54 





通信 方式 半 双 工 











100 m 一 20 km( 依 天 线 定 ) 


802.11 标准 规定 的 物理 层 相 当 复 杂 ，1997 年 制定 了 第 一 部 分 ， 叫 作 802.11，1999 年 又 
制定 了 剩 下 的 部 分 ， 即 802.11a 和 802.11b。 

802.11 的 物理 层 有 以 下 三 种 实现 方法 。 

(1) 调频 扩展 FHSS(Frequency Hopping Spread Spectrum) 是 扩 频 技术 中 常用 的 一 种 。 它 
使 用 2.4 GHz 的 ISM 频段 ( 即 2.4000G 一 2.4835 GHz)， 共 有 79 个 信道 可 供 跳 频 使 用 。 第 一 
个 频道 的 中 心 频率 为 2.402 GHz， 以 后 每 隔 1 MHz 有 一 个 信道 。 因 此 每 个 信道 可 使 用 的 带 
宽 为 1MHz。 当 使 用 二 元 高 斯 移 频 键 控 GFSK 时 , 基本 接 入 速率 为 1 Mb/s。 当 使 用 四 元 GFSK 
时 ， 接 入 速率 为 2 Mb/s。 

(2) 直接 序列 扩 频 DSSS(Direct Sequence Spread Spectrum) 是 另 一 种 重要 的 扩 频 技术 。 
它 也 使 用 2.4GHz 的 ISM 频段 。 当 使 用 二 元 相对 移 相 键 控 时 ， 基 本 接 入 速率 为 1 Mb/s。 当 
使 用 四 元 相对 移 相 键 控 时 ， 接 入 速率 为 2 Mb/s。 

(3) 红外 线 阳 (mfra Red) 的 波长 为 850 一 950nm， 可 用 于 室内 传送 数据 。 接 入 速率 为 
1Mb/s。 

802.11a 的 物理 层 工作 在 5 GHz 频带 ,不 采用 扩 频 技术 , 而 是 采用 正 交 频 分 复 用 OFDM， 
它 也 叫 作 多 载波 调制 技术 (载波 数 可 多 达 52 个 ). 可 以 使 用 的 数据 率 为 6Mb/s、9Mb/s、12Mb/s、 
18Mb/s、24Mb/s、36Mb/s、48Mb/s 和 56Mb/s。 

802.11b 的 物理 层 使 用 工作 在 2.4 GHz 的 直接 序列 扩 频 技术 ， 数 据 率 为 5.5 Mb/s 或 11 
Mb/s。 











2.4.2 IEEE 802.11 标准 中 的 MAC 层 


IEEE 802.11 标准 设计 了 独特 的 MAC 层 ， 如 图 2-9 所 示 。 它 通过 协调 功能 (Coordination 
Function) 确 定 基本 服务 集 BSS 中 的 移动 站 在 什么 时 间 能 发 送 数 据 或 接收 数据 。802.11 的 
MAC 层 在 物理 层 的 上 面 ， 它 包括 两 个 子 层 。 在 下 面 的 一 个 子 层 是 分 布 协调 功能 
DCF(Distributed Coordination Function)。DCF 在 每 一 个 节点 使 用 CSMA 机 制 的 分 布 式 接 入 
算法 ， 让 各 个 站 通过 争 用 信道 来 获取 发 送 权 ， 因 此 DCF 向 上 提供 争 用 服务 。 另 一 个 子 层 叫 
作 点 协调 功能 PCF(Point Coordination Function)。PCF 是 选项 ， 自 组 网 络 就 没有 PCF 子 层 。 






































NN 川 川 国 








PCF 使 用 集中 控制 的 接 入 算法 (一 般 在 接 入 点 AP 实现 集中 控制 )， 用 类 似 于 探 询 的 方法 将 发 
送 数据 权 轮 流 交 给 各 个 站 ， 从 而 避免 了 碰撞 的 产生 。 对 于 时 间 敏 感 的 业务 ， 如 分 组 话音 ， 
就 应 使 用 提供 无 争 用 服务 的 点 协调 功能 PCF。 












































无 争 用 服务 
I 争 用 服务 
点 协调 功能 PCF (Point 
Coordination Function) 
MAC 层 
+ “| 分 布 协调 功能 DCF (Distributed Coordination Function) (CSMA/CA) 
林 
2.4 GHz| 2.4 GHz 5 GHz OFDM 
FHSS | DSSS 6,9,12, 2.4GHz DSSS 
物理 层 1Mb/s < 
IMb/s | IMbs | Mp/ 18,24,36, 5.5Mb/s 11 Mb/s 
2| Ss 
y |2Mb/s | 2Mb/s 48,54 Mb/s 
= = 一 ~ 
IEEE 802.11 802.11a 802.11b 


图 2-9 IEEE 802.11 的 MAC 子 层 


为 了 尽量 避免 碰撞 ，802.11 规定 ， 所 有 的 站 在 完成 发 送 后 ， 必 须 在 等 待 一 段 很 短 的 时 
间 ( 继 续 侦 听 ) 才 能 发 送 下 一 帧 ， 这 段 时 间 的 通称 是 帧 间 间 隔 正 S(Inter Frame Space)。 帧 间 间 
隔 的 长 短 取 决 于 该 站 打算 发 送 的 帧 的 类 型 。 高 优先 级 帧 需要 等 待 的 时 间 较 短 ， 因 此 可 优先 
获得 发 送 权 ， 但 低 优先 级 帧 就 必须 等 待 较 长 的 时 间 。 若 低 优 先 级 帧 还 没 来 得 及 发 送 而 其 他 
站 的 高 优先 级 帧 已 发 送 到 媒体 ， 则 媒体 变 为 忙 态 ， 因 而 低 优先 级 帧 就 只 能 再 推迟 发 送 了 。 
这 样 就 减少 了 发 生 碰 撞 的 机 会 。 

常用 的 三 种 帧 间 间 隔 如 下 。 

(1) SIFS， 即 短 (Shorb 帧 间 间 隔 ， 长 度 为 28hs， 是 最 短 的 帧 间 间 隔 ， 用 来 分 隔 开 属 于 
一 次 对 话 的 各 帧 。 一 个 站 应 当 能 够 在 这 段 时 间 内 从 发 送 方式 切换 到 接收 方式 。 

(2) PIFS, 即 点 协调 功能 帧 间 间 隔 ( 比 SIFS 长 ), 是 为 了 在 开始 使 用 PCF 方式 时 (在 PCF 
方式 下 使 用 ,没有 争 用 ) 优 先 获 得 接 入 到 媒体 中 。PIFS 的 长 度 是 SIFS 加 一 个 时 隙 (Slot) 长 度 (其 
长 度 为 50)， 即 78hs。 时 隙 的 长 度 是 这 样 确 定 的 : 在 一 个 基本 服务 集 BSS 内 ， 当 某 个 站 在 
一 个 时 隙 开始 时 接 入 到 媒体 ， 那 么 在 下 一 个 时 隙 开始 时 ， 其 他 站 就 都 能 检测 出 信道 已 转变 
为 忙 态 。 

(3) DIFS， 即 分 布 协调 功能 帧 间 间 隔 (最 长 的 正 S)， 在 DCF 方式 中 用 来 发 送 数据 帧 和 
管理 帧 。DIFS 的 长 度 比 PIFS 再 增加 一 个 时 隙 长 度 ， 因 此 DIFS 的 长 度 为 128hs。 


2.4.3 CSMA/CA 协议 


虽然 CSMA/CD 协议 已 成 功 地 应 用 于 有 线 连 接 的 局 域 网 ， 但 无 线 局 域 网 WLAN 不 能 简 
单 地 搬 用 CSMA/CD 协议 。 这 里 主要 有 两 个 原因 。 

(1) CSMA/CD 协议 要 求 一 个 站 点 在 发 送 本 站 数据 的 同时 ， 还 必须 不 间断 地 检测 信道 ， 
以 便 发 现 是 否 有 其 他 的 站 也 在 发 送 数 据 ， 这 样 才 能 实现 “碰撞 检测 ”的 功能 。 但 在 无 线 局 
域 网 的 设备 中 ， 要 实现 这 个 功能 花费 过 大 。 
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(2) 更 重要 的 是 ， 即 使 我 们 能 够 实现 碰撞 检测 的 功能 ， 并 且 当 我 们 在 发 送 数据 时 检测 
到 信道 是 空闲 的 ， 在 接收 端 仍然 有 可 能 发 生 碰撞 ， 即 碰撞 检测 对 无 线 局 域 网 是 没有 用 处 的 。 
产生 这 种 结果 的 原因 是 由 无 线 信 道 本 身 决定 的 。 具 体 来 说 ， 是 由 于 无 线 电 波 能 够 向 所 有 方 
向 传播 ， 且 其 传播 距离 受 限 。 当 电磁 波 在 传播 过 程 中 遇 到 障碍 物 时 ， 其 传播 距离 就 更 加 受 
到 限制 。 

除 以 上 两 个 原因 之 外 ， 无 线 信 道 还 由 于 传输 条 件 特殊 ， 造 成 信号 强度 的 动态 范围 非常 
大 ， 致 使 发 送 站 无 法 使 用 碰撞 检测 的 方法 来 确定 是 否 发 生 了 碰撞 。 因 此 无 线 局 域 网 不 能 使 
用 CSMA/CD， 而 只 能 使 用 改进 的 CSMA 协议 。 改 进 的 办 法 是 将 CSMA 增加 一 个 碰撞 避免 
(Collision Avoidance) 功 能 。IEEE 802.11 中 就 使 用 CSMA/CA 协议 ， 而 且 在 使 用 CSMA/CA 
的 同时 还 增加 了 使 用 确认 机 制 。 

CSMA/CA 协议 的 原理 如 图 2-10 所 示 ， 欲 发 送 数据 的 站 先 检 测 信道 。 在 802.11 标准 中 
规定 了 在 物理 层 的 空中 接口 进行 物理 层 的 载波 监听 。 通 过 收 到 的 相对 信号 强度 是 否 超过 一 
定 的 门限 数值 ， 就 可 判定 是 否 有 其 他 的 移动 站 在 信道 上 发 送 数据 。 






















目的 站 


NAV( 媒 体 忆 ) 
须要 发 着“ 推迟 接 入 等 待 重 试 时 间 








其 他 站 


图 2-10 802.11 CSMA/CA 协议 工作 原理 


当 源 站 发 送 第 一 个 MAC 帧 时 ， 若 检测 到 信道 空 几 ， 则 在 等 待 一 段 时 间 DIFS 后 就 可 发 
送 。 为 什么 信道 空闲 还 要 再 等 待 呢 ? 这 是 考虑 到 可 能 有 其 他 的 站 有 高 优先 级 的 帧 要 发 送 。 
如 有 ， 就 要 让 高 优先 级 帧 先 发 送 。 现 在 假定 没有 高 优先 级 帧 要 发 送 ， 因 而 源 站 发 送 了 自己 
的 数据 帧 。 目 的 站 若 正 确 收 到 此 帧 ， 则 经 过 时 间 间 隔 SIFS 后 ， 向 源 站 发 送 确认 帧 ACK。 

若 源 站 在 规定 时 间 内 没有 收 到 确认 帧 ACK( 由 重 传 计时 器 控制 这 段 时 间 )， 就 必须 重 传 
此 帧 , 直到 收 到 确认 为 止 ， 或 者 经 过 若干 次 的 重 传 失 败 后 放弃 发 送 。 

802.11 标准 还 采用 了 一 种 叫 作 虚拟 载波 监听 (Virtual Carrier Sense) 的 机 制 ， 这 就 是 让 源 
站 将 它 要 占用 信道 的 时 间 ( 包 括 目的 站 发 回 确认 帧 所 需 的 时 间 ) 通 知 给 所 有 其 他 站 ， 以 便 使 其 
他 所 有 站 在 这 一 段 时 间 都 停止 发 送 数据 ， 这 样 就 大 大 减少 了 碰撞 机 会 。 在 虚拟 载波 监听 机 
制 中 ， 其 他 站 不 是 因为 监听 信道 ， 而 是 由 于 收 到 了 “ 源 站 的 通知 ” 才 不 发 送 数据 。 这 种 效 
果 相 当 于 其 他 站 都 监听 了 信道 。 所 谓 “ 源 站 的 通知 ”， 就 是 源 站 在 其 MAC 帧 首部 中 的 第 二 
个 字段 “持续 时 间 ” 中 填 入 了 在 本 帧 结束 后 还 要 占用 信道 多 少时 间 ( 以 微 秒 为 单位 )， 包 括 目 
的 站 发 送 确认 帧 所 需 的 时 间 。 
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当 一 个 站 检测 到 正在 信道 中 传送 的 MAC 帧 首部 的 “持续 时 间 ” 字 段 时 ， 就 调整 自己 的 
网 络 分 配 向 量 NAV(Network Allocation Vector)。NAYV 指出 了 必须 经 过 多 少时 间 才 能 完成 数 
据 帧 的 这 次 传输 ， 使 信道 转 入 到 空闲 状态 。 信 道 从 忙 态 变 为 空闲 时 ， 任 何 一 个 站 要 发 送 数 
据 帧 前 ， 不 仅 都 必须 等 待 一 个 DIFS 的 间隔 ， 而 且 还 要 进入 争 用 窗口 ， 并 计算 随机 退 避 时 间 
以 便 重 新 试图 接 入 到 信道 。 在 信道 从 忙 态 转 为 空 亲 时 ， 各 站 就 要 执行 退 避 算 法 ， 这 样 做 就 
减少 了 发 生 碰 撞 的 概率 。 

802.11 中 使 用 了 二 进 制 指数 退 避 算法 ， 但 实际 应 用 中 具体 做 法 稍 有 不 同 。 退 避 算 法 是 
第 i 次 的 退 避 就 在 2 六 个 时 隙 中 随机 地 选择 一 个 ， 即 第 1 次 退 避 是 在 8 个 时 隙 (而 不 是 2 个 ) 
中 随机 选择 一 个 ， 第 2 次 退 避 是 在 16 个 时 隙 (而 不 是 4 个 ) 中 随机 选择 一 个 。 

应 当 指 出 ， 当 一 个 站 要 发 送 数据 帧 时 ， 仅 在 下 面 的 情况 下 才 不 使 用 退 避 算法 : 检测 到 
信道 是 空闲 的 ， 并 且 这 个 数据 帧 是 要 发 送 的 第 一 个 数据 帧 。 除 此 以 外 的 所 有 情况 ， 都 必须 
使 用 退 避 算 法 。 

(1) 在 发 送 第 一 个 帧 之 前 检测 到 信道 处 于 忙 态 。 

(2) 在 每 一 次 重 传 后 。 

(3) 在 每 一 次 成 功 发 送 后 。 


2.4.4 ”对 信道 进行 预约 的 RTS/CTS 协议 


RTS/CTS( 请 求 发 送 / 允 许 发 送 ) 协 议 主要 用 来 解决 “隐藏 终端 ”问题 。IEEE 802.11 提供 
了 如 下 解决 方案 。 在 参数 配置 中 ， 若 使 用 RTS/CTS 协议 ， 同 时 设置 传送 上 限 字 节 数 ， 一 旦 
待 传送 的 数据 大 于 此 上 限 值 ， 即 启动 RTS/CTS 握手 协议 。 为 了 更 好 地 解决 隐蔽 站 带 来 的 碰 
撞 问 题 ，802.11 允许 要 发 送 数 据 的 站 对 信道 进行 预约 。 如 图 2-11(a) 所 示 ， 源 站 A 在 发 送 数 
据 帧 之 前 先 发 送 一 个 短 的 控制 帧 ， 叫 作 请 求 发 送 RTS(Request To Send)， 它 包括 源 地 址 、 目 
的 地 址 和 这 次 通信 (包括 相应 的 确认 帧 ) 所 需 的 持续 时 间 。 若 媒体 空闲 , 则 目的 站 B 就 发 送 一 
个 响应 控制 帧 ， 叫 作 人 允许 发 送 CTS(Clear To Send)， 如 图 2-11(b) 所 示 ， 它 包括 这 次 通信 所 需 
的 持续 时 间 ( 从 RTS 帧 中 将 此 持续 时 间 复 制 到 CTS 帧 中 )。 A 收 到 CTS 帧 后 就 可 发 送 其 数据 
帧 。 下 面 讨论 在 A 和 B 两 个 站 附近 的 一 些 站 将 做 出 的 反应 。 

C 处 于 A 的 传输 范围 内 ， 但 不 在 B 的 传输 范围 内 。 因 此 C 能 够 收 到 A 发 送 的 RTS, 但 
经 过 一 小 段 时 间 后 ，C 不 会 收 到 B 发 送 的 CTS 帧 。 这 样 , 在 A 向 B 发 送 数据 时 ，C 也 可 以 
发 送 自己 的 数据 给 其 他 的 站 而 不 会 干扰 B。 但 请 注意 ，C 收 不 到 B 的 信号 表明 B 也 收 不 到 
C 的 信号 。 

再 观察 D，D 收 不 到 A 发 送 的 RTS 帧 ， 但 能 收 到 B 发 送 的 CTS 帧 。D 知道 B 将 要 和 
A 通 信 ,D 在 A 和 B 通信 的 一 段 时 间 内 不 能 发 送 数据 , 因而 不 会 干扰 B 接收 A 发 来 的 数据 。 

至 于 E， 它 能 收 到 RTS 和 CTS， 因 此 E 和 DD 一样 ， 在 A 发 送 数据 帧 和 B 发 送 确认 由 
的 整个 过 程 中 都 不 能 发 送 数据 。 可 见 这 种 协议 实际 上 就 是 在 发 送 数据 帧 之 前 先 对 信道 预约 
一 段 时 间 。 
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A 的 作用 范围 B 的 作用 范围 
RT RT 
C A | B | D 
E 
(a) A 发 送 RTS 帧 
A 的 作用 范围 B 的 作用 范围 
(b) B 发 送 CTS 帧 


2-11 CSMA/CA 协议 中 的 RTS 和 CTS 帧 


2.4.5 WAPI 协议 


WAPI(Wireless LAN Authentication and Privacy Infrastructure， 无 线 局 域 网 鉴别 和 保密 基 
础 结构 ) 是 一 种 安全 协议 ， 同 时 也 是 中 国 无 线 局 域 网 安全 强制 性 标准 。 

WAPI 像 红 外 线 、 蓝 牙 、GPRS、CDMA1X 等 协议 一 样 ， 是 无 线 传输 协议 的 一 种 ， 只 不 
过 WAPI 是 应 用 于 无 线 局 域 网 WLAN) 中 的 一 种 传输 协议 而 已 ， 它 与 802.11 传输 协议 是 同 
一 领域 的 技术 。WAPI 是 我 国 首 个 在 计算 机 宽带 无 线 网 络 通信 和 领域 自主 创新 并 拥有 知识 产权 
的 安全 接 入 技术 标准 ， 同 时 也 是 中 国 无 线 局 域 网 强制 性 标准 中 的 安全 机 制 。 

与 WiFi 的 单 向 加 密 认 证 不 同 ，WAPI 双向 均 认 证 ， 从 而 保证 传输 的 安全 性 。WAPI 安 
全 系统 采用 公 钥 密码 技术 ， 鉴 权 服务 器 AS 负责 证 书 的 颁发 、 验 证 与 吊销 等 ， 无线 客 户 端 与 
无 线 接 入 点 AP 上 都 安装 有 AS 颁发 的 公 钥 证 书 ， 作 为 自己 的 数字 身份 凭证 。 当 无 线 客户 端 
登录 至 无 线 接 入 点 AP 时 ， 在 访问 网 络 之 前 必须 通过 鉴 权 服务 器 AS 对 双方 进行 身份 验证 。 
根据 验证 的 结果 ， 持 有 合法 证 书 的 移动 终端 才能 接 入 持 有 合法 证 书 的 无 线 接 入 点 AP。 

无 线 局 域 网 鉴别 与 保密 基础 结构 (WAPD 系 统 中 包含 以 下 部 分 : WAI 鉴别 及 密 钥 管理 ， 
WPI 数据 传输 保护 。 

无 线 局 域 网 保密 基础 结构 (WPD 对 MAC 子 层 的 MPDU 进行 加 、 解 密 处 理 ， 分 别 用 于 
WLAN 设备 的 数字 证 书 、 密 钥 协 商 和 传输 数据 的 加 解密 ， 从 而 实现 设备 的 身份 鉴别 、 链 路 
验证 、 访 问 控制 和 用 户 信 息 在 无 线 传输 状态 下 的 加 密 保护 。 

WAPI 无 线 局 域 网 鉴别 基础 结构 (WAD 不 仅 具 有 更 加 安全 的 鉴别 机 制 、 更 加 灵活 的 密 钥 
管理 技术 ， 而 且 实现 了 整个 基础 网 络 的 集中 用 户 管理 ， 从 而 可 以 满足 更 多 用 户 和 更 复杂 的 
安全 性 要 求 。 
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1. WAPI 的 作用 


1) “出 于 安全 性 考虑 

美国 棱镜 门 事件 再 次 使 人 们 高 度 关注 网 络 安全 问题 ， 通 过 与 美国 标准 制定 机 构 长 期 合 
作 ， 将 有 明显 技术 缺陷 的 密码 算法 和 安全 机 制 方案 推广 为 国际 标准 ， 从 而 实施 全 球 网 络 监 
控 计划 的 技术 标准 控制 路 径 。 这 为 各 国 的 网 络 与 信息 安全 敲 响 了 警钟 ， 各 国都 开始 重新 审 
视 WiFi 安全 性 和 美国 阻击 WAPI 的 真实 用 心 ， 这 也 成 为 WAPI 重 获 新 生 的 机 遇 。 

对 于 个 人 用 户 而 言 ，WAPI 的 出 现 最 大 的 受益 就 是 让 自己 的 笔记 本 电脑 从 此 更 加 安全 。 
无 线 局 域 网 传输 速度 快 ， 履 盖 范 围 广 ， 但 它 在 安全 方面 非常 脆弱 。 因 为 数据 在 传输 的 过 程 
中 都 暴露 在 空中 ， 很 容易 被 别有用心 的 人 截取 数据 包 。 虽 然 , 3COM、 安 奈 特 等 国外 厂商 都 
针对 802.11 制定 了 一 系列 的 安全 解决 方案 ， 但 总 体 来 说 并 不 尽 如 人 意 ， 而 且 其 核心 技术 掌 
握 在 别 国人 手中 ， 他 们 既然 能 制定 得 出 来 就 一 定 有 办 法 破解 ， 所 以 在 安全 方面 成 了 政府 和 
商业 用 户 使 用 WLAN 的 一 大 隐患 。WiFi 加 密 技术 经 历 了 WEP、WPA、WPA2 的 演化 ， 每 
一 次 都 极 大 地 提高 了 安全 性 和 破解 难度 ， 然 而 由 于 其 单 向 认证 的 缺陷 ， 这 些 加 密 技术 均 已 
经 被 破解 并 公布 ，WPA 于 2008 年 被 破解 ，WPA2 则 于 2010 年 上 半年 被 黑客 破解 并 在 网 上 
公布 。 

而 WAPI 由 于 采用 了 更 加 合理 的 双向 认证 加 密 技术 ， 比 802.11 更 为 先进 。WAPI 采用 
国家 密码 管理 委员 会 办 公 室 批准 的 公开 密 钥 体制 的 椭圆 曲线 密码 算法 和 秘密 密 钥 体制 的 分 
组 密码 算法 ， 实 现 了 设备 的 身份 鉴别 、 链 路 验证 、 访 问 控制 和 用 户 信息 在 无 线 传输 状态 下 
的 加 密 保护 。 此 外 ，WAPI 从 应 用 模式 上 分 为 单 点 式 和 集中 式 两 种 ， 可 以 彻底 扭转 目前 
WLAN 下 多 种 安全 机 制 并 存 且 互 不 兼容 的 现状 ， 从 根本 上 解决 了 安全 问题 和 兼容 性 问题 。 
所 以 我 国 强制 性 地 要 求 相关 商业 机 构 执行 WAPI 标准 能 更 有 效 地 保护 数据 的 安全 。 

另外 ， 设 备 间 互联 是 运营 商 必 须 考虑 的 问题 。 当 前 ， 虽 然 许多 厂商 的 产品 都 宣称 通过 
了 WiFi 兼容 性 测试 ， 但 各 厂商 所 提出 和 采用 的 安全 解决 方案 不 同 。 例 如 ， 安 奈 特 
(AT-WR2411 无 线 网 卡 ) 提 供 的 是 多 级 的 安全 体系 ， 包 括 扩 频 编码 和 加 密 技 术 ， 安 全 的 信息 
使 用 40 位 和 128 位 的 WEP(Wired Equivalent Privacy) 加 密 方法 ， 而 3COM 的 无 线 网 卡 如 果 
和 3COM 11 Mb/s 无 线 局 域 网 Access Point 6000 配合 使 用 , 则 可 以 使 用 高 级 的 动态 安全 链 路 
技术 ， 该 技术 与 共享 密 钥 的 方案 不 同 ， 它 会 自动 为 每 一 个 会 话 生成 一 个 128 位 的 加 密 密 钥 。 
这 样 ， 由 于 缺乏 统一 的 安全 解决 方案 标准 ， 导 致 了 不 同 的 WLAN 设备 在 启用 安全 功能 时 无 
法 互通 ， 会 造成 运营 商 的 设备 管理 极其 复杂 ， 需 要 针对 不 同 的 安全 方案 开发 不 同 的 用 户 管 
理 功能 ， 导 致 运营 和 维护 成 本 大 大 增加 ， 也 不 利于 保护 投资 。 而 用 户 因为 无 法 在 不 同 的 安 
全 AP(Access Point) 间 漫游 ， 从 而 也 降低 了 客户 的 满意 度 。 

2) ”出 于 利益 方面 的 考虑 

我 国 是 个 经 济 蓬勃 发 展 的 发 展 中 国家 ， 许 多 产品 都 拥有 巨大 的 发 展 空间 ， 尤 其 是 高 科 
技 产 品 。 但 是 ， 在 以 前 ， 我 国 在 高 科技 产品 方面 形 失 了 很 多 的 机 会 ， 由 于 极 少 有 自主 核心 
技术 和 自己 业界 标准 的 产品 , 造成 了 颇 为 被 动 的 局 面 , 如 DVD 要 被 外 国人 收取 大 量 的 专利 
费 ，GPRS、CDMAIX 等 标准 都 掌握 在 外 国人 手 里 。 


2. WAPI 的 组 成 
WAPI 包括 两 部 分 : WAI(WLAN Authentication Infrastructure) 和 WPI(WLAN Privacy 
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Infrastructure)。WAI 和 WPI 分 别 实现 对 用 户 身份 的 鉴别 和 对 传输 的 业务 数据 加 密 ， 其 中 
WAI 采 用 公开 密 钥 密码 体制 ， 利 用 公 钥 证 书 对 WLAN 系统 中 的 STA 和 AP 进行 认证 ; WPI 
则 采用 对 称 密码 算法 实现 对 MAC 层 MSDU 的 加 、 解 密 操作 。 








EE 有 [1 LIL LI 本 小 结 [| | 本 | IELLILL II LE | 








随 着 物 联网 建设 的 加 快 ， 物 联网 的 安全 问题 已 然 成 为 制约 物 联网 全 面 发 展 的 重要 因素 。 
与 互联 网 安全 技术 相 比 ， 物 联网 安全 技术 更 具 大 众 性 和 平民 性 ， 与 所 有 人 的 日 常生 活 密切 
相关 ， 这 就 要 求 物 联网 安全 技术 采用 低 成 本 、 简 单 、 易 用 、 轻 量 级 的 解决 方案 。 本 章 围绕 
物 联网 的 安全 体系 ， 对 物 联网 感知 层 、 传 输 层 、 网 络 层 、 应 用 层 的 安全 体系 结构 进行 了 讲 
解 ， 同 时 也 介绍 了 物 联网 安全 技术 的 管理 、 预 防 策略 。 


“ pb 


会 物 联网 信息 安全 密码 概述 


学 习 导 读 


密码 技术 是 现代 信息 安全 技术 的 基础 ， 加 密 、 数 字 签 名 、 认 证 等 
都 与 密码 技术 有 着 密切 的 关系 。 通 过 密码 算法 ， 用 户 不 仅 可 以 保护 自 
己 的 敏感 数据 ， 还 可 以 进行 安全 可 靠 的 网 络 交易 、 网 络 支付 ， 建 立 网 
络 上 的 信任 关系 。 本 章 主要 介绍 简单 的 密码 学 理论 ， 以 方便 读者 对 后 
续 内 容 的 理解 。 
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3.1 密码 体制 与 分 类 


密码 技术 成 为 一 门 新 的 学 科 是 在 20 世纪 70 年 代 ， 这 是 受 计 算 机 科学 蓬勃 发 展 和 推动 
的 结果 。 密 码 学 的 理论 基础 之 一 是 1949 年 Shannon 发 表 的 《保密 系统 的 通信 理论 》， 这 篇 
文章 发 表 了 30 年 后 才 显 示 出 它 的 价值 。1976 年 ，W. Diffie 和 M. Heilman 发 表 了 《密码 学 
的 新 方向 》(New Direction Cryptography) 一 文 ， 提 出 了 适应 网 络 保密 通信 的 公 钥 密码 思想 ， 
开辟 了 公开 密 钥 密码 学 的 新 领域 ， 掀 起 了 公 钥 密码 研究 的 序幕 。 各 种 公 钥 密码 体制 被 提出 ， 
特别 是 1978 年 RSA 公 钥 密码 体制 的 出 现 ， 在 密码 学 史上 是 一 个 里 程 碑 。 同 年 ， 美 国 国家 
标准 局 正式 公布 实施 了 美国 的 数据 加 密 标准 (Data Encryption Standard，DES)， 宣 布 了 近代 
密码 学 的 开始 。2001 年 ， 美 国联 邦 政府 颁布 高 级 加 密 标准 (Advanced Encryption Standard， 
AES)。 随 着 其 他 技术 的 发 展 ， 一 些 具 有 潜在 密码 应 用 价值 的 技术 也 逐渐 得 到 了 密码 学 家 极 
大 的 重视 并 加 以 利用 ， 出 现 了 一 些 新 的 密码 技术 ， 如 混沌 密码 、 量 子 密码 等 ， 这 些 新 的 密 
码 技术 正在 逐步 走向 实用 化 。 


3.1.1 密码 体制 


研究 各 种 加 密 方案 的 科学 称 为 密码 编码 学 (Cryptography)， 而 研究 密码 破译 的 科学 称 为 
密码 分 析 学 (Cryptanalysis)。 密 码 学 作为 数学 的 一 个 分 支 ， 是 密码 编码 学 和 密码 分 析 学 的 统 
称 ， 其 基本 思想 是 对 信息 进行 一 系列 的 处 理 ， 使 未 授权 者 不 能 获得 其 中 的 真实 含义 。 

一 个 密码 系统 也 称 密码 体制 (Cryptosystem)， 有 5 个 基本 组 成 部 分 ， 如 图 3-1 所 示 。 














加 密 密 钥 解密 密 钥 
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明文 一 一 > 加 密 算法 解密 算法 一 一 ”| 明文 


















































图 3-1 密码 系统 模型 


@ ”明文 : 是 加 密 输入 的 原始 信息 ， 通 常用 m 表示 。 全 体 明文 的 集合 称 为 明文 空间 ， 
通常 用 M 表示 。 

e@ 密 文 : 是 明文 经 过 加 密 变 换 后 的 结果 ， 通 常用 c 表示 。 全 体 密 文 的 集合 称 为 密 文 
空间 ， 通 常用 C 表示 。 

e@ ， 密 钥 : 是 参与 信息 变换 的 参数 ， 通 常用 k 表示 。 全 体 密 钥 的 集合 称 为 密 钥 空间 ， 
通常 用 表示。 

e ”加 密 算法 : 是 将 明文 变 成 密 文 的 变换 函数 ， 即 发 送 者 加 密 消息 时 所 采用 的 一 组 规 
则 ， 通 常用 EE 表示。 

@ 解密 算法 : 是 将 密 文 变 成 明文 的 变换 函数 ， 即 接收 者 解密 消息 时 所 采用 的 一 组 规 
则 ， 通 常用 D 表示 。 

e 加密: 是 将 明文 M 用 加 密 算 法 卫 在 加 密 密 钥 Ke 的 控制 下 变换 成 密 文 C 的 过 程 ， 





FN 川 川 | 加 
表示 为 C=EK*(M)。 : 
@ 解密 : 是 将 密 文 C 用 解密 算法 D 在 解密 密 钥 Ka 的 控制 下 变换 成 明文 M 的 过 程 
表示 为 M=DKa(C)， 并 要 求 M= DKa(Ks(M))， 即 用 加 密 算法 得 到 的 密 文 用 一 定 的 
解密 算法 总 能 够 恢复 成 为 原始 的 明文 。 
@ ”对 称 密码 体制 ， 当 加 密 密 钥 Ke 与 解密 密 钥 Ka 是 同一 把 密 钥 ， 或 者 能 够 相互 较 容 
易 地 推导 出 来 时 ， 该 密码 体制 被 称 为 对 称 密码 体制 。 
@ ” 非 对 称 密码 体制 ， 当 加 密 密 钥 K。 与 解密 密 钥 Ka 不 是 同一 把 密 钥 ， 且 解密 密 钥 不 
能 通过 加 密 密 钥 计算 出 来 (至 少 在 假定 合理 的 长 时 间 内 ) 时 , 该 密码 体制 被 称 为 非 对 
称 密码 体制 。 
在 密码 学 中 ， 通 常 假定 加 密 密 铀 和 解密 算法 是 公开 的 ， 密 码 体制 的 安全 性 只 系 于 密 钥 
的 安全 性 ， 这 就 要 求 加 密 算 法 本 身 要 非常 安全 。 如 果 提 供 了 无 穷 的 计算 资源 ， 依 然 无 法 攻 
破 ， 则 称 这 种 密码 体制 是 无 条 件 安全 的 。 除 了 一 次 一 密 之 外 ， 无 条 件 安全 是 不 存在 的 ， 因 
此 密码 系统 用 户 所 要 做 的 就 是 尽量 满足 以 下 条 件 。 
(1) 破译 密码 的 成 本 超过 密 文 信息 的 价值 。 
(2) 破译 密码 的 时 间 超 过 密 文 信息 有 用 的 生命 周期 。 
如 果 满足 上 面 两 个 条 件 之 一 ， 则 密码 系统 可 以 认为 是 实际 上 安全 的 。 


3.1.2 ”密码 分 类 


加 密 技术 除了 隐 写 术 以 外 ， 可 以 分 为 古典 密码 和 现代 密码 两 大 类 。 上 古典 密码 一 般 是 以 
单个 字母 为 作用 对 象 的 加 密 法 ， 具 有 和 久远 的 历史 ; 而 现代 密码 则 以 明文 的 三 元 表示 作为 作 
用 对 象 ， 具 备 更 多 的 实际 应 用 。 本 书 不 对 古典 密码 进行 介绍 ， 感 兴趣 的 读者 可 以 参考 其 他 
密码 学 教程 。 





3.2 分 组 密码 


现代 密码 学 中 所 出 现 的 密码 体制 可 分 为 两 大 类 : 对 称 加 密 体 制 和 非 对 称 加 密 体制 。 对 
称 加 密 体制 中 相应 采用 的 就 是 对 称 算法 。 在 大 多 数 对 称 算法 中 ， 加 密 密 钥 和 解密 密 钥 是 相 
同 的 。 从 基本 工作 原理 来 看 ， 古 典 加 密 算 法 最 基本 的 蔡 代 和 换 位 工作 原理 仍 是 现代 对 称 加 
密 算 法 最 重要 的 核心 技术 。 对 称 算 法 可 以 分 为 两 类 : 序列 密码 (Stream Cipher) 和 分 组 密码 
(Block Cipher)， 其 中 绝 大 多 数 基 于 网 络 的 密码 应 用 ， 使 用 的 是 分 组 密码 。 

与 序列 密码 每 次 加 密 处 理 数 据 流 的 一 位 或 一 字 节 不 同 ， 分 组 密码 处 理 的 单位 是 一 组 明 
文 ， 即 将 明文 消息 编码 后 的 数字 序列 划分 成 长 为 工 位 的 m 组 ， 每 个 长 为 的 分 组 分 别 在 密 
钥 k( 密 钥 长 为 9 的 控制 下 变换 成 与 明文 分 组 等 长 的 一 组 密 文 数据 文字 序列 c。 

分 组 密码 算法 实际 上 就 是 在 密 钥 的 控制 下 ， 通 过 某 个 置换 来 实现 对 明文 分 组 的 加 密 变 
换 。 为 了 保证 密码 算法 的 安全 强度 ， 对 密码 算法 的 要 求 如 下 。 

(1) 分 组 长 度 足 够 长 。 

(2) 密 钥 量 足够 多 。 

(3) 密码 变换 足够 复杂 。 
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3.2.1，DES 


美国 国家 标准 局 (NBS) 于 1973 年 向 社会 公开 征集 一 种 用 于 政府 机 构 和 商业 部 门 的 加 密 
算法 ,经 过 评测 和 一 段 时间 的 试用 ,美国 政府 于 1977 年 颁布 了 数据 加 密 标准 (Data Encryption 
Standard，DES)。DES 是 分 组 密码 的 典型 代表 ， 也 是 第 一 个 被 公布 出 来 的 标准 算法 ， 曾 被 
美国 国家 标准 局 确定 为 联邦 信息 处 理 标准 (FIPS PUB 46)， 使 用 广泛 ， 特 别 是 在 金融 领域 ， 
曾 是 密码 体制 事实 上 的 世界 标准 。 

DES 是 一 种 分 组 密码 ， 明 文 、 密 文 和 密 钥 的 分 组 长 度 都 是 64 位 ， 并 且 是 面向 二 进 制 的 
密码 算法 。DES 处 理 的 明文 分 组 长 度 为 64 位 ， 密 文 分 组 长 度 也 是 64 位 ， 使 用 的 密 钥 长 度 
为 56 位 (实际 上 函数 要 求 一 个 64 位 的 密 钥 作为 输入 , 但 其 中 用 到 的 只 有 56 位 , 另外 8 位 可 
以 用 作 奇 偶 校 验 或 完全 随意 设置 )。DES 是 对 合 运算 ， 它 的 解密 过 程 和 加 密 相似 ， 解 密 时 使 
用 与 加 密 同 样 的 算法 ， 不 过 子 密 钥 的 使 用 次 序 则 要 与 加 密 相反 。DES 的 整个 体制 是 公开 的 ， 
系统 的 安全 性 完全 靠 密 钥 保密 。DES 的 整体 结构 如 图 3-2 所 示 。 
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图 3-2 DES 的 整体 结构 
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DES 算法 的 加 密 过 程 经 过 了 三 个 阶段 : 首先 ，64 位 的 明文 在 一 个 初始 置换 人 P 后 ， 比 特 
重 排 产生 了 经 过 置换 的 输入 ， 明 文 组 被 分 成 右 半 部 分 和 左 半 部 分 ， 每 部 分 32 位 ， 以 Lo 和 
Ro 表示 ; 第 二 阶段 是 对 同一 个 函数 进行 16 轮 迭 代 ， 称 为 乘积 变换 或 函数 f 这 个 函数 将 数 
据 和 密 钥 结合 起 来 ， 本 身 既 包含 换 位 又 包含 蔡 代 函数 ， 输 出 为 64 位 ， 其 左边 和 右边 两 个 部 
分 经 过 交换 后 得 到 预 输出 。 

最 后 阶段 ， 预 输出 通过 一 个 逆 初始 置换 IP-: 算法 就 生成 了 64 位 密 文 结果 。 相 对 应 的 
DES 解密 过 程 由 于 DES 的 运算 是 对 合 运算 ， 所 以 解密 和 加 密 可 以 共用 同一 个 运算 ， 只 是 子 
密 钥 的 使 用 顺序 不 同 。 

DES 在 总 体 上 应 该 说 是 极其 成 功 的 ， 但 在 安全 上 也 有 不 足 之 处 。 

(1) 密 钥 太 短 : IBM 原来 的 Lucifer 算法 的 密 钥 长 度 是 128 位 , 而 DES 采用 的 是 56 位 ， 
显然 太 短 了 。1998 年 7 月 17 日， 美国 EFF (Electronic Frontier Foundatiom) 宣 布 ， 他 们 使 用 
一 台 价 值 25 万 美元 的 改装 计算 机 ， 只 用 了 56 小 时 就 穷 举 出 一 个 DES 密 钥 。1999 年 ，EFF 
将 该 穷 举 速度 提升 到 了 24 小 时 。 

(2) 存在 互补 对 称 性 : 将 密 钥 的 每 一 位 取 反 ， 用 原来 的 密 钥 加 密 已 知 明文 得 到 密 文 分 
组 ， 那 么 用 此 密 钥 的 补 密 钥 加 密 此 明文 的 补 便 可 得 到 密 文 分 组 的 补 。 这 表明 ， 对 DES 的 选 
择 明文 攻击 仅 需 要 测试 一 半 的 密 钥 ， 穷 举 攻击 的 工作 量 也 就 相应 减 半 了 。 

除了 上 述 两 点 之 外 ，DES 的 半 公 开 性 也 是 人 们 对 DES 颇 有 微 词 的 地 方 。 后 来 虽然 推出 
了 DES 的 改进 算法 ， 如 三 重 DES， 即 3DES， 将 密 钥 长 度 增加 到 112 位 或 168 位 ， 增 强 了 
安全 性 ， 但 效率 低 。 


3.2.2 AES 


高 级 加 密 标准 (Advanced Encryption Standard，AES) 作 为 传统 对 称 加 密 标准 DES 的 替代 
者 ， 于 2001 年 正式 发 布 为 美国 国家 标准 (FIST PUBS 197)。 

AES 采用 的 Rijndael 算法 是 一 个 欠 代 分 组 密码 ， 其 分 组 长 度 和 密 钥 长 度 都 是 可 变 的 ， 
只 是 为 了 满足 AES 的 要 求 才 限定 处 理 的 分 组 大 小 为 128 位 ， 而 密 钥 长 度 为 128 位 、192 位 
或 256 位 ， 相 应 的 迭代 轮 数 N 为 10 轮 、12 轮 、14 轮 。Rijndael 汇聚 了 安全 性 能 、 效 率 、 
可 实现 性 和 灵活 性 等 优点 ， 其 最 大 的 优点 是 可 以 给 出 算法 的 最 佳 差 分 特性 的 概率 ， 并 分 析 
算法 抵抗 差分 密码 分 析 及 线性 密码 分 析 的 能 力 。Rijndael 对 内 存 的 要 求 非常 低 且 操作 简单 ， 
也 使 它 很 适合 用 于 受 限 的 环境 中 ， 并 可 抵御 强大 和 实时 的 攻击 。 

在 安全 性 方面 ，Rijndael 加 密 、 解 密 算法 不 存在 像 DES 里 出 现 的 弱 密 铀 ， 因 此 在 加 密 、 
解密 过 程 中 ， 对 密 钥 的 选择 就 没有 任何 限制 :并且 根据 目前 的 分 析 ，Rijndael 算法 能 够 有 效 
抵抗 现 有 已 知 的 攻击 。 

除了 前 面 介绍 的 分 组 密码 外 ,还 有 其 他 很 多 的 分 组 密码 , 如 RC 系列 分 组 密码 (包括 RC2、 
RC5、RC6 等 )、CLIPPER 密码 、SKIPJACK 算法 、IDEA 密码 等 。 国 际 上 目前 公开 的 分 组 
密码 不 下 100 种 ， 在 此 就 不 一 一 介绍 。 


3.3” 公 钥 密 码 体 制 


公 钥 密码 学 与 其 之 前 的 密码 学 完全 不 同 。 首 先 ， 公 钥 密 码 算法 基于 数学 函数 而 不 是 之 
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前 的 蔡 代 和 置换 。 其 次 ， 公 钥 密 码 学 是 非 对 称 的 ， 它 使 用 两 个 独立 的 密 钥 。 公 钥 密 码 学 在 
消息 的 保密 性 、 密 钥 分 配 和 认证 领域 都 有 着 极其 重要 的 意义 。 

公开 密 钥 密码 的 基本 思想 是 将 传统 密码 的 密 钥 k 一 分 为 二 ， 分 为 加 密 密 钥 K。 和 解密 密 
钥 Ka， 用 加 密 密 钥 Ke 控制 加 密 ， 用 解密 密 钥 Ka 控制 解密 ， 而 且 在 计算 上 确保 由 加 密 密 钥 
Ke。 不 能 算出 解密 密 钥 Ka。 这样 即使 将 Ke 公开 也 不 会 暴露 Ka， 从 而 不 会 损害 密码 的 安全 。 
于 是 可 对 Ka 保密 , 而 对 K。 进 行 公 开 ， 从 而 在 根本 上 解决 了 传统 密码 在 密 钥 分 配 上 所 过 到 的 
问题 。 为 了 区 分 常规 加 密 和 公开 密 钥 加 密 两 个 体制 ， 一 般 将 常规 加 密 中 使 用 的 密 钥 称 为 秘 
密 密 钥 (Secret Key), 用 Ks 表示 ; 将 公开 密 钥 加 密 中 使 用 的 能 够 公开 的 加 密 密 钥 K。 称 为 公开 
密 钥 (Public Key)， 用 Ku 表示 ; 将 加 密 中 使 用 的 保密 的 解密 密 钥 Ka 称 为 私有 密 钥 (Private 
Key)， 用 KR 表示 。 

根据 公开 密 钥 密 码 的 基本 思想 ， 可 知 一 个 公开 密 钥 密码 应 当 满 足以 下 三 个 条 件 。 

(1) 解密 算法 D 与 加 密 算 法 E 互 逆 ， 即 对 所 有 明文 M 都 有 Dxr(Eru(M))=M。 

(2) 在 计算 上 不 能 由 Ku 推出 Kr。 

(3) 算法 E 和 D 都 是 高 效 的 。 

满足 了 以 上 3 个 条 件 ， 便 可 构成 一 个 公开 密 钥 密码 ， 这 个 密码 可 以 确保 数据 的 秘密 性 。 
进而 ， 如 果 还 要 求 确保 数据 的 真实 性 ， 则 还 应 该 满足 第 四 个 条 件 ， 即 ， 对 于 所 有 明文 M， 
都 有 





Exu(Drr(M))=M 
如 果 同 时 满足 以 上 4 个 条 件 ， 则 公开 密 钥 密码 可 以 同时 确保 数据 的 秘密 性 和 真实 性 。 
此 时 ， 对 于 所 有 的 明文 M， 都 有 
Drkr(Eku(M))=Eru(Drr(M))=M 

公开 密 钥 密码 从 根本 上 克服 了 传统 密码 在 密 钥 分 配 上 的 困难 。 利 用 公开 密 钥 密码 进行 
保密 通信 ， 需 要 成 立 一 个 密 钥 管理 机 构 区 MC)， 每 个 用 户 都 将 自己 的 姓名 、 地 址 和 公开 的 
加 密 密 钥 等 信息 在 KMC 上 注册 登记 ， 将 公 钥 计 入 共享 的 公开 密 钥 数据 库 PKDB 中 ，KMC 
负责 密 钥 的 管理 ， 并 且 得 到 用 户 的 信赖。 这 样 ， 用 户 利用 公开 密 钥 密码 进行 保密 通信 ， 就 
像 查 电话 号 码 本 打 电 话 一 样 方便 ， 无 须 按 约 定 持 有 相同 的 密 钥 ， 因 此 特别 适合 计算 机 网 络 
应 用 。 


3:3.1 RSA 


RSA 公 钥 密码 算法 是 由 美国 麻 省 理工 学 院 (MIT) 的 Rivest, Shamir 和 Adleman 在 1978 年 
提出 的 ， 其 算法 的 数学 基础 是 初等 数论 的 Euler 定理 ， 其 安全 性 建立 在 大 整数 因子 分 解 的 困 
难 性 之 上 。 

RSA 密码 体制 的 明文 空间 M = 密 文 空间 C= Za 整数 ， 其 算法 描述 如 下 。 

(1) 密 钥 的 生成 : 首先 ， 选 择 两 个 互 异 的 大 素数 p 和 q( 保 密 )， 计 算 n=pq( 公 开 )， 
y(n)=(p-1)(q-1)( 保 密 )， 选 择 一 个 随机 整数 e(0<e<y(n)， 满 足 gcd(ey(nD)=I( 公 开 )。 计 算 d = 
emody(n)( 保 密 )。 确 定 公 钥 Ke=-{e，oj， 私 钥 Ka= {d, p,q}, 即 {d, n}。 

(2) 加 密 : C=Memodn。 

(3) 解密 : M= Cdmodn。 

由 于 RSA 密码 安全 、 易 懂 ， 既 可 用 于 加 密 ， 又 可 用 作 数 字 签 名 ， 因 此 RSA 方案 是 唯一 
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被 广泛 接受 并 实现 的 通用 公开 密 钥 密码 算法 , 许多 国家 标准 化 组 织 , 如 ISO、ITU 和 SWIFT 
等 都 已 接受 RSA 作为 标准 。Intemet 网 的 E-mail 保密 系统 PGP (Pretty Good Privacy) 及 国际 
VISA 和 MASTER 组 织 的 电子 商务 协议 (Secure Electronic Transaction, SET 协议 ) 中 都 将 RSA 
密码 作为 传送 会 话 密 钥 和 数字 签名 的 标准 。 


3.3.2 ElGamal 和 ECC 


ElGamal 密码 是 除了 RSA 密码 之 外 最 有 代表 性 的 公开 密 钥 密码 。ElGamal 密码 建立 在 
离散 对 数 的 困难 性 之 上 。 由 于 离散 对 数 问题 具有 较 好 的 单 向 性 ， 所 以 离散 对 数 问题 在 公 钥 
密码 学 中 得 到 了 广泛 应 用 。 除 了 ElGamal 密码 外 ，Diffie-Heilman 密 钥 分 配 协议 和 美国 数字 
签名 标准 算法 DSA 等 也 都 是 建立 在 离散 对 数 问题 之 上 的 。ElGamal 密码 改进 了 Diffie 和 
Heilman 的 基于 离散 对 数 的 密 钥 分 配 协议 , 提出 了 基于 离散 对 数 的 公开 密 钥 密码 和 数字 签名 
体制 。 由 于 ElGamal 密码 的 安全 性 建立 在 GFG@) 离 散 对 数 的 困难 性 之 上 ， 而 目前 尚 无 求解 
GF(p) 离 散 对 数 的 有 效 算法 ， 所 以 p 足够 大 时 ElGanml 密码 是 很 安全 的 。 

椭圆 曲线 密码 体制 (Elliptic Curve Cryptography，ECC) 通 过 “元 素 ” 和 “组 合 规则 ”组 
成 群 的 构造 方式 ， 使 得 群 上 的 离散 对 数 密码 较 RSA 密码 体制 而 言 能 更 好 地 对 抗 密 钥 长 度 攻 
击 ， 使 用 椭圆 曲线 公 钥 密码 的 身份 加 密 系统 能 够 较 好 地 抵御 攻击 ， 是 基于 身份 加 密 的 公 钥 
密码 学 在 理论 上 较为 成 熟 的 体现 。 由 于 椭圆 曲线 密码 学 较 难 ， 我 们 在 这 里 不 详细 介绍 。 


3.3.3 ” 公 钥 密码 体制 应 用 
大 体 上 说 ， 可 以 将 公开 密 钥 密码 系统 的 应 用 分 为 如 下 三 类 。 
1. 机 密 性 的 实现 


发 送 方 用 接收 方 的 公开 密 钥 加 密 报 文 ， 接 收 方 用 自己 相应 的 私 钥 来 解密 。 

发 送 者 A 发 送 的 信息 用 接收 者 B 的 公 钥 KUs 进行 加 密 ， 只 有 拥有 与 公 钥 匹配 的 私 钥 
KRs 的 接收 者 B 才能 对 加 密 的 信息 进行 解密 ， 而 其 他 攻击 者 由 于 并 不 知道 KRs， 因 此 不 能 
对 加 密 信息 进行 有 效 解 密 。 此 加 密 过 程 保证 了 信息 传输 的 机 密 性 。 

2. 数字 签名 


数字 签名 是 证 明 发 送 者 身份 的 信息 安全 技术 。 在 公开 密 钥 加 密 算法 中 ， 发 送 方 用 自己 
的 私 钥 “ 签 署 ” 报 文 ( 即 用 自己 的 私 钥 加 密 )， 接 收 方 用 发 送 方 配对 的 公开 密 钥 来 解密 以 实现 
认证 ， 发 送 者 A 用 自己 的 私 钥 KRA 对 信息 进行 加 密 ( 即 签名 )， 接 收 者 用 与 KRa 匹配 的 公 钥 
KU4 进行 解密 ( 即 验 证 )。 因为 只 有 KUA 才能 对 KRa 进行 解密 , 而 发 送 者 A 是 KRA 的 唯一 拥 
有 者 ， 因 此 可 以 断定 A 是 信息 的 唯一 发 送 者 。 此 过 程 保 证 了 信息 的 不 可 否认 性 。 

3. 密 钥 交换 

密 钥 交 换 即 发 送 方 和 接收 方 基于 公 钥 密码 系统 交换 会 话 密 钥 。 这 种 应 用 也 称 混合 密码 
系统 ， 可 以 通过 常规 密码 体制 加 密 需 要 保密 传输 的 消息 本 身 ， 然 后 用 公 钥 密码 体制 加 密 常 
规 密码 体制 中 使 用 的 会 话 密 钥 ， 充 分 利用 了 对 称 密码 体制 在 处 理 速度 上 的 优势 和 非 对 称 密 
码 体制 在 密 钥 分 发 和 管理 方面 的 优势 ， 从 而 使 效率 大 大 提高 。 
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3.4 ”认证 与 数字 签名 


3.4.1 Hash 函数 


1. Hash 函数 的 特性 


Hash 函数 也 被 称 为 哈 希 函 数 或 散 列 函 数 。 它 是 一 种 单 向 密码 体制 ， 即 它 是 一 个 从 明文 
到 密 文 的 不 可 逆 映 射 ， 能 够 将 任意 长 度 的 消息 M 转换 成 固定 长 度 的 输出 H(M)。 

Hash 函数 除了 上 述 特点 之 外 ， 还 必须 满足 以 下 三 个 性 质 。 

(1) 给 定 M， 计算 HMWD) 是 容易 的 。 

(2) 给 定 HMD， 计 算 M 是 困难 的 。 

(3) 给 定 M， 要 找到 不 同 的 消息 M'， 使 得 HIM= HIMI) 是 困难 的 。 实 际 上 ， 只 要 M 和 
M 咯 有 差别 ， 它 们 的 散 列 值 就 会 有 很 大 不 同 ， 而 且 即 使 修改 M 中 的 一 个 比特 ， 也 会 使 输出 
的 比特 串 中 大 约 一 半 的 比特 发 生变 化 ， 即 具有 雪崩 效应 。 注 意 : 不 同 的 两 个 消息 M 和 My， 
使 得 HIM)=HGMI) 是 存在 的 ， 即 发 生 了 碰撞 ， 但 按 要 求 找到 一 个 碰撞 是 困难 的 ， 因 此 Hash 
函数 仍 可 以 放心 地 使 用 。 

2. Hash 函数 的 算法 


单 向 散 列 函数 的 算法 有 很 多 种 ， 如 Snefru 算法 、N-Hash 算法 、MD2 算法 、MD4 算法 、 
MD5 算法 等 ， 常 用 的 有 MDS 算法 和 SHA-1 算法 。 

(1) MD5 算法 : MD 表示 信息 摘要 (Message Digest)。MD4 是 Ron Rivest 设计 的 单 向 散 
列 算法 ， 其 公布 后 由 于 有 人 分 析出 算法 的 前 两 轮 存在 差分 密码 攻击 的 可 能 ， 因 而 Rivest 对 
其 进行 了 修改 ， 产 生 了 MD5 算法 。MD5 算法 将 输入 文本 划分 成 512 位 的 分 组 ， 每 一 个 分 
组 又 划分 为 16 个 32 位 的 子 分 组 ， 输 出 由 4 个 32 位 的 分 组 级 联 成 一 个 128 位 的 散 列 值 。 

(2) 安全 散 列 算法 (SHA) 由 美国 国家 标准 和 技术 协会 NIST) 提 出 ， 在 1993 年 公布 并 作 
为 联邦 信息 处 理 标准 (FIPS PUB 180)， 之 后 在 1995 年 发 布 了 修订 版 FIPS PUB 180， 通 常 称 
之 为 SHA-1。SHA 是 基于 MD4 算法 的 ， 在 设计 上 很 大 程度 是 模仿 了 MD4。SHA-1 算法 将 
输入 长 度 最 大 不 超过 264 位 的 报 文 划分 成 512 位 的 分 组 ， 产 生 一 个 160 位 的 输出 。 

由 于 MD5 和 SHA-] 都 是 由 MD4 导出 的 ， 因 此 两 者 在 算法 、 强 度 和 其 他 特性 上 都 很 相 
似 。 它 们 之 间 最 显著 和 最 重要 的 区 别 在 于 SHA-1 的 输出 值 比 MD5 的 输出 值 长 32 位 ， 因 此 
SHA-1 对 强行 攻击 有 更 强大 的 抵抗 能 力 。MDS5 算法 的 公开 ， 使 它 的 设计 容易 受到 密码 分 析 
的 攻击 ， 而 有 关 SHA-1 的 标准 几乎 没有 公开 过 ， 因 此 很 难 判定 它 的 强度 。 另 外 ， 在 相同 硬 
件 条 件 下 ， 由 于 SHA-1 运算 步骤 多 且 要 求 处 理 160 位 的 缓存 ， 因 此 比 MD5 仅 处 理 128 位 
缓存 的 速度 要 慢 。SHA-1 与 MD5 两 个 算法 的 共同 点 是 算法 描述 简单 、 易 于 实现 ， 并 且 不 需 
要 元 长 的 程序 或 很 大 的 替代 表 。 


3.4.2 报 文 认证 


报 文 认证 是 证 实 收 到 的 报 文 来 自 可 信 的 源 点 并 未 被 算 改 的 过 程 。 常 用 的 报 文 认证 函数 
包括 报 文 加 密 、 散 列 函数 和 报 文 认证 码 三 种 类 型 。 
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1. 报 文 加 密 

报 文 加 密 是 用 整个 报 文 的 密 文 作为 报 文 的 认证 符 。 发 送 者 A 唯一 拥有 密 钥 K， 如 果 密 
文 被 正确 恢复 ， 则 B 可 以 知道 收 到 的 内 容 没 有 经 过 任何 改动 ， 因 为 不 知道 K 的 第 三 方 想 要 
根据 所 期 望 的 明文 来 找 出 能 够 被 B 恢复 的 密 文 是 非常 困难 的 。 因 此 对 报 文 进行 加 密 ， 既 能 
保证 报 文 的 机 密 性 ， 又 能 认证 报 文 的 完整 性 。 


2. 散 列 函数 


散 列 函 数 是 一 个 将 任意 长 度 的 报 文 映射 为 定 长 的 散 列 值 的 公共 函数 ， 并 以 散 列 值 作为 
认证 码 。 发 送 者 首先 计算 要 发 送 的 报 文 M 的 散 列 函 数值 H(M), 然后 将 其 与 报 文 一 起 发 给 B， 
接收 者 对 收 到 的 报 文 M' 计 算 新 的 散 列 函数 值 HIM) 并 与 收 到 的 HCMD) 进 行 比较 , 如 果 两 者 相 
同 ， 则 证 明 信 息 在 传送 过 程 中 没有 遭 到 算 改 。 


3. 报 文 认证 码 


报 文 认证 码 (Message Authentication Code，MAC) 是 一 个 报 文 的 公共 函数 和 用 于 产生 一 
个 定 长 值 的 密 钥 的 认证 符 。 它 使 用 一 个 密 钥 产生 一 个 短小 的 定 长 数据 分 组 ， 即 报 文 认证 码 
MAC, 并 把 它 附 加 在 报 文中 ,发 送 者 A 用 明文 M 和 密 钥 KK 计算 要 发 送 报 文 的 函数 值 Cx(M)， 
即 MAC 值 ， 并 将 其 与 报 文 一 起 发 送 给 B， 接 收 者 用 收 到 的 报 文 M 和 与 A 共有 的 密 钥 K 计 
算 新 的 MAC 值 并 与 收 到 的 MAC 值 进行 比较 。 如 果 两 者 相同 ， 则 证 明 信 息 在 传送 过 程 中 没 
有 遭 到 算 改 。 

基于 对 称 分 组 密码 (如 DES) 是 构建 MAC 最 常用 的 方法 ， 但 由 于 散 列 函数 (如 MD5 和 
SHA-1) 的 软件 执行 速度 比分 组 密码 快 、 库 函数 容易 获得 及 受 美国 等 国家 出 口 限制 等 原因 ， 
MAC 的 构建 逐步 转向 由 散 列 函 数 导 出 。 由 于 散 列 函数 (如 MD5) 并 不 是 专门 为 MAC 设计 的 ， 
不 能 直接 用 于 产生 MAC， 因 此 提出 了 将 一 个 密 钥 与 现 有 散 列 函数 结合 起 来 的 算法 ， 其 中 最 
具有 代表 性 的 是 HMAC(RFC2104)。HMAC 已 经 作为 卫 安全 中 强制 执行 的 MAC， 并 且 也 
被 SSL 等 其 他 的 Intermet 协议 所 使 用 。 


3.4.3 ”数字 签名 


数字 签名 与 手写 签名 一 样 ， 不 仅 要 能 证 明 消息 发 送 者 的 身份 ， 还 要 能 与 发 送 的 信息 相 
关 。 它 必须 能 证 实 作 者 身份 和 签名 的 日 期 及 时 间 ， 必 须 能 对 报 文 内 容 进行 认证 ， 并 且 还 必 
须 能 被 第 三 方 证 实 以 便 解 决 争端 。 其 实质 就 是 签名 者 用 自己 独 有 的 密码 信息 对 报 文 进行 处 
理 ， 接 收 方 能 够 认定 发 送 者 唯一 的 身份 。 如 果 双 方 对 身份 认证 有 争议 ， 则 可 由 第 三 方 (仲裁 
机 构 ) 根 据 报 文 的 签名 来 裁决 报 文 是 否 确实 由 发 送 方 发 出 ， 以 保证 信息 的 不 可 抵赖 性 ， 而 对 
报 文 的 内 容 及 签名 的 时 间 和 日 期 进行 认证 ， 是 为 了 防止 数字 签名 被 伪造 和 重用 。 

常用 的 数字 签名 采用 公开 密 钥 加 密 算 法 来 实现 ， 如 采用 RSA、ElGamal 签名 。 发 送 者 
用 自己 的 私 钥 对 报 文 进行 签名 ， 接 收 者 用 发 送 者 的 公 钥 进行 认证 ， 但 由 于 直接 用 私 钥 对 报 
文 进行 加 密 不 能 保证 信息 的 完整 性 ， 因 此 ， 必 须 和 散 列 函数 结合 起 来 实现 真正 实用 的 数字 
签名 。 

发 送 者 用 自己 的 私 钥 对 信息 的 Hash 值 进行 加 密 ， 然 后 与 明文 进行 拼接 发 送出 去 。 接 收 
者 一 方面 对 收 到 的 明文 信息 重新 计算 Hash 值 ， 另 一 方面 对 前 面 的 信息 用 发 送 者 的 公 钥 进行 
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验 证 ,将 得 到 的 Hash 值 与 重新 计算 的 Hash 值 进行 比较 ， 如 果 一 致 ， 则 说 明 信 息 没有 被 算 
改 。 这 种 方法 的 优点 是 在 保证 了 发 送 者 真实 身份 的 同时 ， 还 保证 了 信息 的 完整 性 ， 满 足 了 
数字 签名 的 要 求 ， 不 足 之 处 是 由 于 数字 签名 并 不 对 明文 进行 处 理 ， 因 此 不 能 保证 消息 的 机 
密 性 ， 但 可 以 对 信息 进行 加 密 ， 接 收 方 收 到 信息 后 用 自己 的 私 钥 进行 解密 ， 再 验证 数字 签 
名 及 信息 的 完整 性 。 

数字 签名 的 另 一 种 算法 是 使 用 仲裁 机 构 进行 签名 ， 如 采用 常规 加 密 算法 与 仲裁 机 构 相 
结合 实现 数字 签名 。 假 设 发 送 者 A 与 接收 者 B 用 密 钥 Kas 进行 通信 ， 仲 裁 者 为 C， 发 送 者 
A 与 仲裁 者 C 之 间 共 享 密 钥 接收 者 B 与 仲裁 者 C 之 间 共 享 密 钥 Kac。 

(1) 常规 加 密 且 仲裁 者 C 能 看 见 明文 : 发 送 者 A 将 发 送 的 明文 和 签名 信息 SA(M) 用 密 
钥 Kac 加 密 后 发 送 给 仲裁 者 C，C 对 信息 进行 解密 ， 恢 复出 明文 对 A 的 签名 信息 SA(M) 进 
行 认证 , 确认 正确 后 将 明文 信息 和 签名 信息 及 时 间 戳 工 用 接收 者 B 共享 的 密 钥 Kec 加 密 后 ， 
发 送 给 接收 者 B。 由 于 接收 者 B 完全 信任 仲裁 者 C， 因 此 可 以 确信 它 发 过 来 的 信息 就 是 发 
送 者 A 发 的 信息 。 其 中 发 送 者 A 的 签名 信息 SaA(M) 由 A 的 标识 符 IDA 和 明文 的 散 列 函数 值 
组 成 。 

(2) 常规 加 密 且 仲裁 者 C 不 能 看 见 明文 : 如 果 不 想 被 仲裁 者 C 看 见 明 文 ， 则 可 用 发 送 
者 A 和 接收 者 B 之 间 的 共享 密 钥 Kap 对 明文 进行 加 密 , 与 签名 一 起 发 出 。 仲 裁 者 C 只 能 对 
发 送 者 A 的 签名 进行 认证 ,但 不 能 解密 密 文 。 只 有 接收 者 B 能 够 对 仲裁 者 C 转发 的 信息 进 
行 两 次 解密 ， 得 到 明文 。 

(3) 公开 密 钥 加 密 且 仲裁 者 C 不 能 看 见 明文 : 发 送 者 A 用 自己 的 私 钥 KRa 对 信息 进行 
签名 ， 然 后 用 接收 者 B 的 公 钥 KUs 进行 加 密 ， 再 用 私 钥 KRA 对 所 有 信息 进行 签名 。 仲 裁 者 
C 收 到 信息 后 ， 用 发 送 者 A 的 公 钥 KUA 进行 认证 ， 然 后 用 自己 的 私 钥 KRc 对 信息 进行 签 
名 并 转发 给 接收 者 B。 接 收 者 B 收 到 信息 后 ， 通 过 仲裁 者 C 的 公 钥 KUc 进行 签名 认证 ， 确 
认 发 送 者 A 的 密 钥 是 有 效 的 ， 再 用 A 的 公 钥 KUA 对 信息 进行 解密 ， 恢 复出 明文 。 


3.4.4 密 钥 管理 与 分 发 


密 钥 管理 负责 密 钥 从 产生 到 最 终 销毁 的 整个 过 程 ， 包 括 密 钥 的 生成 、 存 储 、 分 配 、 使 
用 、 备 份 恢复 、 更 新 、 撤 销 和 销毁 等 ， 是 提供 机 密 性 、 完 整 性 和 数字 签名 等 密码 安全 技术 
的 基础 。 

密 钥 的 分 发 是 保密 通信 中 的 一 方 生成 并 选择 密 钥 ， 然 后 把 该 密 钥 发 送 给 参与 通信 的 其 
他 一 方 或 多 方 的 机 制 ， 一 般 分 为 秘密 密 钥 分 发 和 公开 密 钥 分 发 两 大 类 。 

1. 秘密 密 钥 分 发 

秘密 密 钥 分 发 使 用 一 个 大 家 都 信任 的 密 钥 分 发 中 心 (Key Distribution Center，KDC)， 每 
一 通信 方 与 KDC 共享 一 个 密 钥 ， 其 交换 方式 有 以 下 几 种 。 

(1) 发 送 者 A 随机 生成 会 话 密 钥 Ks， 然 后 将 Ks 和 要 通信 的 对 象 信息 B 用 A 与 KDC 
之 间 的 共享 密 钥 Ka-kpc 加 密 后 发 送 给 KDC。 

(2) KDC 将 收 到 的 信息 解密 后 得 到 会 话 密 钥 Ks， 将 此 密 钥 和 信息 发 送 者 A 的 身份 信 
息 用 B 和 KDC 之 间 共 享 的 密 钥 Ks.kpc 加 密 后 发 送 给 接收 者 B。 

(3) B 收 到 加 密 信 息 后 进行 解密 ， 得 到 用 Ks 与 A 通信 的 信息 。 
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(4) 发 送 者 A 与 接收 者 B 之 间 用 会 话 密 钥 Ks 进行 信息 的 秘密 传送 。 

(5) KDC 随机 生成 会 话 密 钥 Kp, 并 将 B 的 身份 信息 用 A 与 KDC 之 间 的 共享 密 钥 Kakpc 
加 密 后 一 起 发 送 给 A， 同 时 将 会 话 密 钥 Kas 与 B 的 身份 信息 用 B 与 KDC 之 间 的 共享 密 钥 
Ks. kpc 加 密 后 发 送 给 B。 

(6) 发 送 者 A 与 接收 者 B 分 别 对 收 到 的 KDC 加 密 信息 进行 解密 ， 得 到 通信 另 一 方 的 
信息 和 会 话 密 钥 Kap。 

(7) 发 送 者 A 与 接收 者 B 用 会 话 密 钥 Kap 进行 信息 的 加 密 传输 。 

2. 公开 密 钥 分 发 

公开 密 钥 分 发 方法 有 以 下 4 种 。 

(1) 直接 将 密 钥 发 送 给 通信 的 另 一 方 或 通过 广播 的 方式 将 公 钥 发 送 给 通信 的 其 他 方 。 

(2) 建立 一 个 可 动态 访问 的 公 钥 目录 (存放 公 钥 信息 的 数据 库 服 务 器 ), 使 通信 的 各 方 可 
以 基于 公开 渠道 访问 公 钥 目 录 来 获取 密 钥 。 

(3) 带 认证 功能 的 在 线 服务 器 公 钥 分 发 。 例 如 ， 发 送 者 A 向 管理 员 请 求 接收 者 B 的 公 
钥 ， 管 理 员 将 接收 者 B 的 公 钥 用 自己 的 私 钥 进 行 签名 ， 使 发 送 者 A 能 够 通过 管理 员 的 公 钥 
进行 认证 ， 从 而 确认 接收 者 B 的 公 钥 是 可 以 用 的 。 

(4) 使 用 数字 证 书 进行 公 钥 分 发 。 在 这 个 方案 中 , 一 般 有 一 个 可 信 的 第 三 方 机 构 一 一 认 
证 中 心 ， 又 称 证 书 授权 (Certificate Authority，CA)。 由 各 方向 CA 申请 证 书 并 信任 CA 颁发 
的 证 书 。 证 书 的 内 容 一 般 包括 证 书 的 ID、 证 书 的 发 放 者 、 证 书 的 有 效 期 、 用 户 的 名 称 、 用 
户 的 公 钥 ， 以 及 证 书 发 放 者 对 证 书 内 容 的 签名 信息 。 用 户 能 够 根据 CA 的 签名 信息 来 认证 证 
书 的 有 效 性 和 合法 性 ， 并 利用 证 书 中 的 用 户 公 钥 对 信息 进行 加 密 通 信 。CA 负责 数字 证 书 的 
颁发 和 管理 。 
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密码 学 是 一 门 古老 的 科学 。 自 古 以 来 ， 密 码 主要 用 于 军事 、 政 治 、 外 交 等 重要 部 门 ， 
因而 密码 学 的 研究 工作 也 是 秘密 进行 的 。 随 着 计算 机 科学 技术 、 通 信 技 术 、 微 电子 技术 的 
发 展 ， 计 算 机 和 通信 网 络 的 应 用 进入 了 人 们 的 日 常生 活 和 工作 中 ， 出 现 了 电子 政务 、 电 子 
商务 、 电 子 金融 等 必须 确保 信息 安全 的 系统 ， 使 得 民间 和 商界 对 信息 安全 保密 的 需求 大 增 。 
本 章 主 要 介绍 密码 学 的 体制 与 分 类 ， 帮 助 读 者 对 密码 学 内 容 有 进一步 的 了 解 。 
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会 物 联 网 感知 层 安 全 技术 分 析 


学 习 导 读 


物 联网 感知 层 设备 主要 用 于 信息 采集 和 目标 检测 等 领域 ， 通 常 部 
署 在 极端 的 网 络 环境 中 ， 如 水 下 、 战 场 、 野 外 等 ， 使 得 设备 的 管理 和 
维护 都 非常 困难 ， 一 旦 有 感知 层 设 备 被 攻击 者 捕获 并 破解 ， 则 管理 人 
员 很 难 发 现 ， 因 此 需要 增强 感知 层 设备 自身 的 物理 安全 防护 技术 。 结 
合 物 联网 的 安全 架构 来 分 析 感知 层 、 传 输 层 、 处 理 层 以 及 应 用 层 的 安 
全 威胁 与 需求 ， 不 仅 有 助 于 选取 、 研 发 适合 物 联网 的 安全 技术 ， 更 有 
助 于 系统 地 建设 完整 的 物 联网 安全 体系 。 
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4.1 感知 层 安全 概述 


感知 层 的 任务 是 实现 全 面 感知 外 界 信息 的 功能 ， 包 括 原始 信息 的 采集 、 捕 获 和 物体 识 
别 。 该 层 的 典型 设备 包括 RFID 装置 、 各 类 传感器 (如 温度 、 湿 度 、 红 外 、 超 声 、 速 度 等 )、 
图 像 捕 捉 装置 (摄像 头 )、 全 球 定 位 系统 (GPS)、 激 光 扫 描 仪 等 ， 其 涉及 的 关键 技术 包括 传 感 
器 、RFID、 自 组 网 络 、 短 距离 无 线 通 信 、 低 功 耗 路 由 等 。 这 些 设备 收集 的 信息 通常 具有 明 
确 的 应 用 目的 ， 因 此 传统 上 这 些 信息 直接 被 处 理 并 应 用 ， 如 公路 摄像 头 捕捉 的 图 像 信息 直 
接 用 于 交通 监控 ; 使 用 导航 仪 ， 可 以 轻松 了 解 当前 位 置 及 要 去 目的 地 的 路 线 ， 使 用 摄像 头 
可 以 和 朋友 聊天 , 在 网 络 上 面对面 交流 ; 使 用 RFID 技术 的 汽车 无 匙 系统 , 可 以 自由 开关 门 ， 
甚至 开车 都 可 以 免 去 使 用 钥匙 的 麻烦 ， 也 可 以 在 百 米 内 了 解 汽车 的 安全 状态 等 。 但 是 ， 各 
种 方便 的 感知 系统 给 人 们 生活 带 来 便利 的 同时 ， 也 存在 各 种 安全 和 隐私 问题 。 例 如 ， 摄 像 
头 的 视频 对 话 或 监控 在 给 人 们 的 生活 提供 方便 的 同时 ， 也 会 被 具有 恶意 企图 的 人 控制 利用 ， 
从 而 监控 个 人 的 生活 ， 泄 露 个 人 的 隐私 。 特 别 是 近年 来 ， 黑 客 利用 个 人 计算 机 连接 的 摄像 
头 泄露 用 户 隐私 的 事件 层出不穷 。 另 外 ， 在 物 联网 应 用 中 ， 多 种 类 型 的 感知 信息 可 能 会 被 
同时 处 理 、 综 合 利用 ， 甚 至 不 同感 应 信息 的 结果 将 影响 其 他 控制 调节 行为 ， 如 湿度 的 感应 

结果 可 能 会 影响 温度 或 光照 控制 的 调节 。 同 时 ， 物 联网 应 用 强调 的 是 信息 共享 ， 这 是 物 联 
网 区 别 于 传 感 网 的 最 大 特点 之 一 ， 如 交通 监控 录像 信息 可 能 还 同时 被 用 于 公安 侦破 、 城 市 
改造 规划 设计 、 城 市 环境 监测 等 。 于 是 ， 如 何 处 理 这 些 感知 信息 将 直接 影响 信息 的 有 效应 
用 。 为 了 使 同样 的 信息 在 不 同 的 应 用 领域 有 效 使 用 ， 就 需要 有 一 个 综合 处 理 平台 ， 即 物 联 
网 的 应 用 层 ， 来 综合 处 理 这 些 感知 信息 。 

相对 互联 网 来 说 ， 物 联网 感知 层 的 安全 是 新 事物 ， 是 物 联网 安全 的 重点 ， 需 要 集中 关 
注 。 目前, 物 联 网 感知 层 主要 由 RFID 系统 和 传感器 网 络 组 成 。 另 外 ， 嵌 入 各 种 传感器 功能 
的 智能 移动 终端 也 已 成 为 物 联网 感知 层 的 重要 感知 手段 ， 同 样 面 临 很 多 安全 问题 。 


4.1.1 感知 层 的 安全 地 位 


物 联 网 是 以 感知 为 核心 的 物 物 互联 的 综合 信息 系统 ， 感 知 层 作为 物 联网 的 基础 ， 负 责 
感知 、 收 集 外 部 信息 ， 是 整个 物 联网 的 信息 源 。 因 此 ， 感 知 层 数据 信息 的 安全 保障 将 是 整 
个 物 联网 信息 安全 的 基础 ， 本 章 将 重点 探讨 、 分 析 物 联网 感知 层 的 信息 安全 问题 ， 并 给 出 
相应 的 应 对 建议 和 措施 。 


4.1.2 ”感知 层 的 安全 威胁 


感知 层 的 任务 是 全 面 感知 外 界 信息 。 与 传统 的 无 线 网 络 相 比 ， 由 于 感知 层 具 有 资源 受 
限 、 拓 扑 动态 变化 、 网 络 环境 复杂 、 以 数据 为 中 心 以 及 与 应 用 联系 密切 等 特点 ， 使 其 更 容 
易 受 到 威胁 和 攻击 。 因 此 物 联网 感知 层 遇 到 的 安全 问题 包括 以 下 4 个 方面 。 

(1) 末端 节点 安全 威胁 。 物 联网 感知 层 的 末端 节点 包括 传感器 节点 、RFID 标签 、 移 动 
通信 终端 、 摄 像 头等 。 末 端 节点 一 般 较为 脆弱 ， 其 原因 有 如 下 几 点 : (D 末 端 节点 自身 防护 
能 力 有 限 ， 容 易 遭 受 拒 绝 服 务 攻击 ，@ 节 点 可 能 处 于 恶劣 环境 、 无 人 值守 的 地 方 ，@ 节 点 
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随机 动态 布 放 ， 上 层 网 络 难以 获得 节点 的 位 置信 息 和 拓扑 信息 。 根 据 末 端 节点 的 特点 ， 它 
的 安全 威胁 主要 包括 : 物理 破坏 导致 节点 损坏 ; 非 授 权 读 取 节 点 信息 ; 假冒 感知 节点 ; 节 
点 的 自私 性 威胁 ， 木马、 病毒、 垃圾 信息 的 攻击 ， 以 及 与 用 户 身份 有 关 的 信息 泄露 。 

(2) 传输 威胁 。 物 联网 需要 防止 任何 有 机 密 信 息 交 换 的 通信 被 窃听 ， 储 存在 节点 上 的 
关键 数据 未 经 授权 也 应 该 禁止 访问 。 传 输 信息 主要 面临 的 威胁 有 中 断 、 拦 截 、 算 改 和 伪造 。 

(3) 拒绝 服务 。 拒 绝 服 务 主要 是 故意 攻击 网 络 协议 实现 的 缺陷 ， 或 直接 通过 野蛮 手段 
耗 尽 被 攻击 对 象 的 资源 ， 目 的 是 让 目标 网 络 无 法 提供 正常 的 服务 或 资源 访问 ， 使 目标 系统 
服务 停止 响应 或 朋 溃 ， 如 试图 中 断 、 颠 覆 或 毁坏 网 络 。 此 外 ， 还 包括 硬件 失败 、 软 件 漏洞 、 
资源 耗 尽 等 ， 也 包括 恶意 干扰 网 络 中 数据 的 传送 或 物理 损坏 传感器 节点 ， 消 耗 传感器 节点 
能 量 。 

(4) 路 由 攻击 。 路 由 攻击 是 指 通过 发 送 伪造 路 由 信息 ， 干 扰 正 常 的 路 由 过 程 。 路 由 攻 
击 有 两 种 攻击 手段 。 其 一 是 通过 伪造 合法 的 但 具有 错误 路 由 信息 的 路 由 控制 包 ， 在 合法 节 
点 上 产生 错误 的 路 由 表 项 ， 从 而 增 大 网 络 传输 开销 ， 破 坏 合法 路 由 数据 ， 或 将 大 量 的 流量 
导向 其 他 节点 以 快速 消耗 节点 能 量 。 还 有 一 种 攻击 手段 是 伪造 具有 非法 包头 字段 的 包 ， 这 
种 攻击 通常 和 其 他 攻击 合并 使 用 。 


4.2 ”RFID 安全 分 析 





4.2.1 RFID 安全 威胁 


由 于 RFID 标签 价格 低廉 和 设备 简单 ， 安 全 措施 很 少 被 应 用 到 RFID 中 ， 因 此 RFID 面 
临 的 安全 威胁 更 加 严重 。RFID 安全 问题 通常 会 出 现在 数据 获取 、 数 据 传输 、 数 据 处 理 和 数 
据 存 储 等 各 个 环节 ， 以 及 标签 、 读 写 器 、 天 线 和 计算 机 系统 各 个 设备 中 。 简 单 而 言 ，RFID 
的 安全 威胁 主要 包括 隐私 泄露 和 安全 认证 问题 。RFID 系统 所 带 来 的 安全 威胁 可 分 为 主动 攻 
击 和 被 动 攻击 两 大 类 。 

(1) 主动 攻击 包括 : 获得 的 射频 标签 实体 ， 通 过 物理 手段 在 实验 室 环境 中 去 除 芯 片 
封装 ， 使 用 微 探 针 获 取 敏 感 信 号 ， 从 而 进行 射频 标签 重 构 的 复杂 攻击 ，@ 通 过 软件 ， 利 用 
微 处 理 器 的 通用 接口 ， 通 过 扫描 射频 标签 和 响应 读 写 器 的 探寻 ， 寻 求 安全 协议 和 加 密 算 法 
存在 的 漏洞 ， 进 而 删除 射频 标签 内 容 或 算 改 可 重 写 射频 标签 内 容 ，@ 通 过 干扰 广播 、 阻 塞 
信道 或 其 他 手段 ， 构 建 异 常 的 应 用 环境 ， 使 合法 处 理 器 发 生 故 障 ， 进 行 拒绝 服务 攻击 等 。 

(2) 被 动 攻击 主要 包括 : 外 通过 采用 窃听 技术 ， 分 析 微 处 理 器 正常 工作 过 程 中 产生 的 
各 种 电磁 特征 ， 来 获得 射频 标签 和 读 写 器 之 间或 其 他 RFID 通信 设备 之 间 的 通信 数据 ; 
名 通过 读 写 器 等 窍 听 设备 ， 跟 踪 商 品 流通 动态 。 

主动 攻击 和 被 动 攻击 都 会 使 RFID 应 用 系统 面临 巨大 的 安全 风险 。 


4.2.2 ”RFID 安全 技术 


为 防止 上 述 RFID 系统 的 安全 威胁 ，RFID 系统 必须 在 电子 标签 资源 有 限 的 情况 下 实现 
具有 一 定安 全 强度 的 安全 机 制 。 受 低 成 本 RFID 电子 标签 中 资源 有 限 的 影响 , 一 些 高 强度 的 
公 钥 加 密 机 制 和 认证 算法 难以 在 RFID 系统 中 实现 。 目 前 ， 国 内 外 针对 低 成 本 RFID 安全 技 
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术 进 行 了 一 系列 研究 ， 并 取得 了 一 些 有 意义 的 成 果 。 
1. RFID 标签 安全 技术 


RFID 的 标签 安全 属于 物理 层 安 全 ， 主 要 安全 技术 如 下 。 
(1) 封杀 标签 法 (Kill Tag)。 

(2) 阻塞 标签 [Blocker Tag)。 

(3) 裁剪 标签 法 (Clipped Tag)。 

(4) 法 拉 第 四 法 (Faraday Cage)。 

(5) 主动 干扰 法 (Active Interference)。 

(6) 夹子 标签 (Clipped Tag)。 

(7) 假名 标签 (Tag Pseudonyms)。 

(8) 天 线 能 量 分 析 (Antenna-Energy Analysis) 。 


2. 访问 控制 


为 防止 RFID 电子 标签 内 容 的 泄露 , 保证 仅 有 授权 实体 才 可 以 读 取 和 处 理 相关 标签 上 的 
信息 ， 必 须 建立 相应 的 访问 控制 机 制 。Sarma 等 人 指出 ， 设 计 低 成 本 RFID 系统 安全 方案 ， 
必须 考虑 两 种 实际 情况 ， 电 子 标签 计算 资源 有 限 以 及 RFID 系统 常 与 其 他 网 络 或 系统 互联 。 
分 析 了 RFID 系统 面临 的 安全 性 和 隐私 性 挑战 ， 他 提出 可 以 采用 在 电子 标签 使 用 后 (如 在 商 
场 结算 处 ) 注 销 的 方法 来 实现 电子 标签 的 访问 控制 ， 这 种 安全 机 制 使 得 RFID 电子 标签 的 使 
用 环境 类 似 于 条 形 码 ，RFID 系统 的 优势 无 法 充分 发 挥 出 来 。Juels 等 人 通过 引入 RFID 阻塞 
标签 来 解决 消费 者 隐私 性 保护 问题 ， 该 标签 使 用 标签 隔离 ( 抗 碰撞 ) 机 制 来 中 断 读 写 器 与 全 部 
或 指定 标签 的 通信 ， 这 些 标 签 隔离 机 制 包 括 树 遍历 协议 和 ALOHA 协议 等 。 阻 塞 标签 能 够 
同时 模拟 多 种 标签 ， 消 费 者 可 以 使 用 阻塞 标签 有 选择 地 中 断 读 写 器 与 某 些 标签 (如 特定 厂商 
的 产品 或 某 个 指定 的 标识 符 子 集 ) 之 间 的 无 线 通信 。 但 是 ， 阻 塞 标签 也 有 可 能 被 攻击 者 滥用 
来 实施 拒绝 服务 攻击 ， 所 以 他 们 给 出 了 阻塞 标签 滥用 的 检测 和 解决 方案 。 同 时 ，Juels 又 提 
出 了 采用 多 个 标签 假名 的 方法 来 保护 消费 者 隐私 ， 这 种 方法 使 得 攻击 者 针对 某 个 标签 的 跟 
踪 实 施 起 来 变 得 非常 困难 甚至 不 可 行 ， 只 有 授权 实体 才 可 以 将 不 同 的 假名 链接 并 识别 出 来 。 
Ishikawa 等 提出 采用 电子 标签 发 送 匿名 电子 产品 代码 (EPC) 的 方法 来 保护 消费 者 的 隐私 。 在 
该 方案 中 ， 后 向 安全 中 心 将 明文 电子 产品 代码 通过 一 个 安全 信道 发 送 给 授权 实体 ， 授 权 实 
体 对 从 电子 标签 处 读 取 的 数据 进行 处 理 ， 即 可 获取 电子 标签 的 正确 信息 。 同 时 ， 在 该 方案 
的 扩展 版 本 中 ， 读 写 器 可 以 发 送 一 个 重 匿 名 请 求 给 安全 中 心 ， 安 全 中 心 将 产生 一 个 新 的 匿 
名 电子 产品 标识 并 交付 给 标签 使 用 ， 以 此 完成 匿名 电子 产品 标识 的 更 新 过 程 。 

3. 标签 认证 

为 防止 电子 标签 的 伪造 和 标签 内 容 的 滥用 ， 必 须 在 通信 之 前 对 电子 标签 的 身份 进行 认 
证 。 目 前 ， 学 术 界 提出 了 多 种 标签 认证 方案 ， 这 些 方案 充分 考虑 了 电子 标签 资源 有 限 的 特 
点 ， 提 出 一 种 轻 量 级 的 标签 认证 协议 ， 并 对 该 协议 进行 了 性 能 分 析 。 该 协议 是 一 种 在 性 能 
和 安全 之 间 达 到 平衡 的 折 中 方案 ， 拥 有 丰富 计算 资源 和 强大 计算 能 力 的 攻击 者 能 够 攻破 该 
协议 。Keunwoo 等 人 分 析 了 现 有 协议 存在 的 隐私 性 问题 ， 提 出 了 一 种 更 加 安全 和 有 效 的 认 
证 协议 来 保护 消费 者 的 隐私 性 ， 并 通过 与 先前 协议 对 比 ， 论 证 了 该 协议 的 安全 性 和 有 效 性 。 
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该 协议 采用 基于 散 列 函数 和 随机 数 的 挑战 -响应 机 制 ， 能 够 有 效 地 防止 重 放 攻击 、 欺 骗 攻 击 
和 行为 跟踪 等 攻击 方式 。 此 外 ， 该 协议 适用 于 分 布 式 数据 库 环 境 。Su 等 人 将 标签 认证 作为 
保护 消费 者 隐私 的 一 种 方法 ， 提 出 一 种 认证 协议 LCAP， 该 协议 仅 需 要 进行 两 次 散 列 运算 ， 
因而 协议 的 效率 比较 高 。 该 协议 可 以 有 效 地 防止 信息 的 泄露 ， 由 于 标识 在 认证 后 才 发 送 其 
标识 符 ， 通 过 每 次 会 话 更 新 标签 的 标识 符 ， 因 此 方案 能 够 保护 位 置 隐私 ， 并 可 以 从 多 种 攻 
击 中 恢复 丢失 的 消息 。Feldhofer 针对 现 有 多 数 协议 未 采用 密码 认证 机 制 的 现状 ， 提 出 了 一 
种 简单 地 使 用 AES 加 密 的 认证 和 安全 层 协议 ， 并 对 该 协议 实现 所 需要 的 硬件 规格 进行 了 详 
细 分 析 。 考 虑 到 电子 标签 有 限 的 能 力 ， 该 协议 采用 的 是 双向 挑战 -响应 认证 方法 ， 加 密 算法 
采用 的 是 AES。 
4. 消息 加 密 


由 于 现 有 读 写 器 和 标签 之 间 的 无 线 通信 在 多 数 情况 下 是 以 明文 方式 进行 的 ， 未 采用 任 
何 加 密 机 制 ， 因 而 攻击 者 能 够 获取 并 利用 RFID 电子 标签 上 的 内 容 。 国 内 外 学 者 为 此 提出 多 
种 解决 方案 ， 旨 在 解决 RFID 系统 的 机 密 性 问题 。Manfred 等 论述 了 多 种 应 用 在 安全 认证 过 
程 中 使 用 标准 对 称 加 密 算法 的 必要 性 ， 分 析 了 当前 RFID 系统 的 脆弱 性 , 给 出 了 认证 机 制 中 
消息 加 密 算法 的 安全 需求 。 同时, 提出 了 加 密 及 认证 协议 的 实现 方法 , 并 证 明了 当前 的 RFID 
基础 设施 和 制造 技术 支持 该 消息 加 密 及 认证 协议 的 实现 。Junichiro 等 人 讨论 了 采取 通用 重 
加 密 机 制 的 RFID 系统 中 的 隐私 保护 问题 , 由 于 系统 无 法 保证 RFID 电子 标签 内 容 的 完整 性 ， 
因而 攻击 者 有 可 能 会 控制 电子 标签 的 存储 器 。 他 们 针对 攻击 者 可 能 采取 的 两 种 自 改 标签 内 
容 的 手段 ， 提 出 了 相应 的 解决 方案 。 


4.2.3 ”RFID 安全 密码 协议 


由 于 安全 问题 愈 发 突出 ， 针 对 这 些 安全 问题 的 安全 协议 也 相继 出 来 ， 这 些 安全 协议 主 
要 针对 应 用 层 的 安全 问题 。 多 数 安全 协议 是 基于 密码 学 中 的 Hash 函数 来 展开 的 。Hash 函数 
通过 相应 算法 , 可 以 将 任意 长 度 的 消息 或 者 明文 映射 成 一 个 固定 长 度 的 输出 摘要 。 因 为 Hash 
函数 的 特性 ， 常 常 被 应 用 于 消息 认证 和 数字 签名 中 ， 最 常用 的 Hash 函数 有 MD5 与 SHA-1。 

RFID 安全 密码 协议 是 指 利用 各 种 成 熟 的 密码 方案 和 机 制 来 设计 及 实现 符合 RFID 安全 
需求 的 密码 协议 。 现 有 的 基于 密码 技术 的 RFID 安全 机 制 大 致 可 以 分 为 静态 ID 机 制 和 动态 
ID 刷新 机 制 。 所 谓 静 态 ID 机 制 就 是 标签 的 标识 保持 不 变 ， 而 动态 ID 刷新 机 制 则 是 标签 的 
标识 随 着 每 一 次 标签 与 读 写 器 之 间 的 交互 而 动态 变化 。 采 用 动态 ID 刷新 机 制 时 ， 一 个 非常 
重要 的 问题 就 是 数据 同步 问题 ， 也 就 是 说 ， 后 端 数据 库 中 所 保存 的 标签 标识 必须 和 存储 在 
标签 中 的 标识 同步 刷新 ， 否 则 ， 在 下 一 次 认证 识别 过 程 中 就 可 能 使 得 合法 的 标签 无 法 通过 
认证 和 识别 。 另 外，RFID 协议 在 设计 时 需要 注意 的 地 方 是 对 RFID 标签 的 计算 能 力 的 假定 。 

目前 已 经 提出 了 大 量 的 RFID 安全 协议 ， 如 Hash-Lock 协议 、 随 机 化 Hash-Lock 协议 、 
Hash 链 协议 、 基 于 Hash 的 ID 变化 协议 、 数 字 图 书馆 RFID 协议 、 分 布 式 ID 询问 -应 答 认 
证 协议 、LCAP 协议 、 再 次 加 密 机 制 (Re-encryption) 等 。 这 里 重点 介绍 几 个 典型 的 认证 协议 ， 
如 Sarma 等 人 的 Hash-Lock 协议 、Weis 等 人 的 随机 化 Hash-Lock 协议 、Ohkubo 等 人 的 Hash 
链 协议 等 。 
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1. Hash-Lock 协议 


为 了 防止 数据 信息 泄露 和 被 追踪 ，Sarma 等 人 提出 了 基于 不 可 逆 Hash 函数 加 密 的 安全 
协议 Hash-Lock。RFID 系统 中 的 电子 标签 内 存储 了 两 个 标签 DD: Meta ID 与 真实 标签 ID， 
Meta ID 与 真实 ID 一 一 对 应 , 由 Hash 函数 计算 标签 的 密 钥 key 而 来 , 即 Meta ID=Hash(key)， 
后 台 应 用 系统 中 的 数据 库 也 对 应 存储 了 标签 的 Meta ID、 真 实 ID、key。 当 阅读 器 向 标签 发 
送 认证 请 求 时 ， 标 签 先 用 Meta ID 代替 真实 ID 发 送 给 阅读 器 ， 然 后 标签 进入 锁定 状态 。 当 
阅读 器 收 到 Meta ID 后 发 送 给 后 台 应 用 系统 ， 后 台 应 用 系统 查找 相应 的 key 和 真实 ID 并 返 
还 给 标签 ， 标 签 将 接收 到 的 key 值 进行 Hash 函数 取 值 ， 然 后 与 自身 存储 的 Meta ID 值 相 比 
较 。 如 果 一 致 ， 标 签 就 将 真实 ID 发 送 给 阅读 器 开始 认证 ;如 果 不 一 致 ， 认 证 失败 。 

Hash-Lock(Hash 锁 ) 协 议 使 用 Meta ID 来 代替 真实 的 标签 劝 . 它 是 一 种 基于 单 向 Hash 函 
数 的 机 制 ， 每 一 个 具有 Hash 锁 的 标签 中 都 有 一 个 Hash 函数 并 存储 一 个 临时 Meta ID。 具 有 
Hash 锁 的 标签 可 以 工作 在 锁定 和 非 锁定 两 种 状态 ， 锁 定 状态 下 的 标签 ， 对 所 有 问 询 的 响应 
仅仅 是 Meta ID; 标签 只 有 在 非 锁定 状态 时 才 向 邻近 的 读 写 器 提供 它 的 信息 。 后面 的 描述 中 ， 
用 瑟 来 表示 单 向 Hash 函数 。 

标签 的 锁定 过 程 如 下 。 

(1) 读 写 器 选 定 一 个 随机 密 钥 key， 并 计算 Meta ID=H(key)。 

(2) 读 写 器 写 Meta ID 到 标签 。 

(3) 标签 进入 锁定 状态 。 

(4) 读 写 器 以 Meta ID 为 索引 ， 将 (Meta ID，key，ID) 存 储 到 本 地 后 端 数据 库 。 

Hash-Lock 协议 虽然 是 双向 认证 ， 但 没有 ID 动态 刷新 机 制 ， 且 Meta ID 也 保持 不 变 ， 
ID 以 明文 的 形式 通过 不 安全 的 信道 传送 ， 因 此 该 协议 非常 容易 受到 假冒 攻击 和 重 传 攻击 。 
所 谓 假冒 攻击 ， 就 是 利用 窃听 到 的 Meta ID 和 JID 伪造 一 个 标签 代替 真实 的 标签 ， 通 常 能 通 
过 读 写 器 的 认证 。 重 传 攻击 的 方法 也 类 似 。 另 外 ， 因 为 ID 是 不 变 的 ， 所 以 攻击 者 可 以 很 容 
易 地 对 标签 进行 追踪 。 因 此 Hash-Lock 协议 没有 达到 保护 ID 不 泄露 的 安全 目的 。 此 外 ， 协 
议 在 数据 库 中 搜索 的 复杂 度 是 成 O(n) 线 性 增长 的 ， 还 需要 O(n) 次 的 加 密 操作 ， 在 大 规模 
RFID 系统 中 应 用 并 不 理想 ， 所 以 Hash-Lock 并 没有 达到 预想 的 安全 效果 ， 但 是 提供 了 一 种 
很 好 的 安全 思想 。 


2. 随机 化 Hash-Lock 协议 


由 于 Hash-Lock 协议 的 缺陷 导致 其 没有 达到 预想 的 安全 目标 ， 所 以 Weis 等 人 对 
Hash-Lock 协议 进行 了 改进 ， 提 出 了 基于 随机 数 的 询问 -应 答 方式 。 其 工作 原理 是 电子 标签 
内 存储 了 标签 ID 与 一 个 随机 数 产生 程序 ， 电 子 标签 收 到 阅读 器 的 认证 请 求 后 ， 将 (HGD;|| 
R)，R) 一 起 发 给 阅读 器 ， 由 随机 数 程序 生成 数据 。 在 收 到 电子 标签 发 送 过 来 的 数据 后 ， 阅 
读 器 请 求 获得 数据 库 所 有 的 标签 ID(1 入 /入 m， 阅读 器 计算 是 否 有 一 个 ID, 满足 (HGD, || R)， 
R)=(H(Di | R),，R),， 如 果 有 , 将 ID; 发 给 电子 标签 ， 电子 标签 将 收 到 的 ID; 与 自身 存储 的 ID; 
进行 对 比 做 出 判断 。 随 机 化 Hash-Lock 协议 原理 如 图 4-1 所 示 。 
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图 4-1 随机 化 Hash-Lock 协议 


随机 化 Hash-Lock 协议 是 Hash-Lock 协议 的 改进 ， 它 对 原来 的 Meta ID 进行 了 随机 化 ， 
使 其 总 是 变化 的 ， 从 而 试图 避免 可 追踪 性 。 随 机 化 Hash 锁 协议 采用 了 基于 随机 数 的 挑战 - 
应 答 机 制 ， 即 认证 方 提问 ， 被 认证 方 回答 ， 如 果 回 答 正确 ， 则 说 明 被 认证 方 通过 了 认证 方 
的 认证 。 该 认证 协议 也 是 双向 认证 ， 虽 然 消 息 是 不 断 变 化 的 ， 但 该 认证 过 程 仍 然 存在 问题 : 
认证 通过 后 的 标签 标识 ID 仍 以 明文 的 形式 在 不 安全 信道 传送 ， 因 此 攻击 者 还 是 可 以 对 标签 
进行 有 效 的 追踪 ， 依 然 不 能 预防 重 放 攻击 和 记录 跟踪 。 同 时 ， 一 旦 获得 了 标签 的 标识 ID， 
攻击 者 就 可 以 对 标签 进行 伪造 。 因此， 随机 化 Hash-Lock 协议 也 是 不 安全 的 。 另外， 每 一 次 
标签 认证 时 ， 后 端 数据 都 需要 将 所 有 标签 的 标识 发 送 给 读 写 器 ， 二 者 之 间 的 数据 通信 量 很 
大 ， 效 率 也 就 很 低 。 在 数据 库 中 搜索 的 复杂 度 是 呈 O(n) 线 性 增长 的 ， 也 需要 O(n) 次 的 加 密 
操作 ， 在 大 规模 RFID 系统 中 应 用 不 理想 ， 所 以 随机 化 Hash-Lock 协议 也 没有 达到 预想 的 安 
全 效果 ， 但 是 会 促使 RFID 的 安全 协议 越 来 越 趋 于 成 熟 。 

3. Hash 链 协议 

由 于 以 上 两 种 协议 的 不 安全 性 ，Ohkubo 等 人 又 提出 了 基于 密 钥 共 享 的 询问 -应 答 安全 
协议 一 一 Hash 链 协议 ， 该 协议 具有 完美 的 前 向 安全 性 。 与 以 上 两 个 协议 不 同 的 是 ， 该 协议 
通过 两 个 Hash 函数 五 与 G 来 实现 ,HH 的 作用 是 更 新 密 钥 和 产生 秘密 值 链 , G 用 来 产生 响应 。 
Hash 链 协 议 是 基于 共享 秘密 的 挑战 -应 答 协议 。 在 该 协议 中 ， 当 不 同 的 读 写 器 发 起 认证 请 求 
时 ， 若 两 个 读 写 器 中 的 Hash 函数 不 同 ， 则 标签 的 应 答 就 是 不 同 的 。 其 协议 流程 如 图 4-2 所 示 。 
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4-2 ”Hash 链 协议 


该 协议 满足 了 不 可 追踪 性 ， 因 为 G 是 单 向 函数 ， 攻 击 者 观察 到 的 ay 和 atma 是 不 可 关 
联 的 。 另 外 满足 前 向 安全 性 ， 即 使 攻击 者 从 窃听 的 ary 来 推算 出 了 se， 也 无 法 知道 sj 等， 
从 而 无 法 知道 a j1， 还 是 无 法 进行 追踪 。 

上 述 协 议 仍然 容易 受到 重 传 和 假冒 的 攻击 ， 只 要 攻击 者 截获 某 个 aa， 它 就 可 以 进行 重 
传 攻击 ， 伪 装 成 合法 标签 通过 认证 。 此 外 ， 每 一 次 标签 认证 发 生 时 ， 后 端 数据 库 都 要 对 每 
一 个 标签 进行 j 次 Hash 运算 , 计算 量 相当 大 。 同 时 , 该 协议 需要 至 少 两 个 不 同 的 Hash 函数 ， 
增加 了 实现 标签 功能 需要 的 电路 门 的 数量 ， 从 而 增加 了 成 本 。 
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4. 基于 Hash 的 ID 变化 协议 


Hash 的 ID 变化 协议 的 原理 与 Hash 链 协议 有 相似 的 地 方 ， 每 次 认证 时 ，RFID 系统 利 
用 随机 数 生 成 程序 生成 一 个 随机 数 R 对 电子 标签 ID 进行 动态 更 新 ， 并 且 对 TID( 最 后 一 次 
话 号 ) 和 LST( 最 后 一 次 成 功 的 回话 号 ) 的 信息 进行 更 新 。 该 协议 可 以 抗 重 放 攻 击 ， 其 原理 
如 图 4-3 所 示 。 


回 








(DQuery 
HID) 

后 台 应 用 系统 GAD) = _ 

HiDIDITID ADYIDJATID TIDYID)ATID | 电子 标签 

ILSTIAE 


(4)R, HCR*TID*ID) (5)R, H(R*TID*ID) 

















图 4-3 基于 Hash 的 ID 变化 协议 


该 协议 有 一 个 弊端 ， 就 是 后 台 应 用 系统 更 新 标签 ID、LST 与 标签 更 新 的 时 间 不 同步 ， 
所 以 该 协议 不 适用 于 分 布 式 RFID 系统 环境 。 


5. 分 布 式 RFID 询问 -应 答 认 证 协议 


该 协议 是 Rhee 等 人 基于 分 布 式 数据 库 环 境 提出 的 询问 -应 答 的 双向 认证 RFID 系统 协 
议 。 图 4-4 所 示 为 分 布 式 RFID 询问 -应 答 认证 协议 的 详细 步 又。 

















(1)Query, Re 
各 (HUIDIRAIRD, Rn, RN 
全 全 汪 人 阅读 器 。 | CIDIRalRn, RD | 电子 标签 
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图 4-4 分 布 式 RFID 询问 -应 答 认证 协议 
该 协议 与 基于 Hash 的 ID 变化 协议 一 样 ， 到 目前 为 止 还 没有 发 现 明 显 的 安全 缺陷 和 漏 
洞 ， 不 足 之 处 一 样 在 于 成 本 太 高 ， 因 为 一 次 认证 过 程 需要 两 次 Hash 运算 ， 阅 读 器 和 电子 标 
签 都 需要 内 嵌 随 机 数 生成 函数 和 模块 ， 不 适合 小 成 本 RFID 系统 。 
6. Hash 安全 协议 的 安全 性 分 析 


Hash 安全 协议 具有 多 项 优势 ， 可 以 防止 非法 读 取 ， 因 为 先进 行 身份 验证 才能 进行 数据 
交换 ， 所 以 可 以 有 效 地 防止 非法 读 取 ;， 可 以 防止 窃听 攻击 ， 因 为 电子 标签 和 阅读 器 之 间 传 
输 的 数据 是 经 由 Hash 加 密 的 ， 并 且 在 Hash-Lock 安全 协议 中 传输 的 数据 是 异 或 之 后 再 进行 
加 密 的 ;可 以 防止 推理 攻击 ， 因 为 每 次 认证 过 程 产生 的 随机 数 都 不 相同 ， 动 获 这 次 的 信息 
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也 没 法 推理 出 上 次 的 信息 ， 防止 欺骗 攻击 和 重 放 攻 击 ， 因 为 每 次 认证 过 程 产生 的 随机 数 都 
不 相同 ， 欺 骗 或 者 重 放 都 会 被 识别 到 ， 可 以 预防 位 置 跟踪 ， 因 每 次 的 随机 数 都 不 同 ， 所 以 
标签 在 每 次 通信 中 所 传输 的 消息 都 是 不 同 的 ， 因 此 非法 者 无 法 根据 固定 输出 来 进行 位 置 跟 
踪 ， 此 协议 可 有 效 防止 因 固定 输出 而 引发 的 位 置 跟踪 问题 ， 可 以 防止 拒绝 服务 攻击 ， 电 子 
标签 在 收 到 阅读 器 的 请 求 信息 时 ， 不 需要 为 它们 存储 随机 数 作为 一 次 性 密 钥 ， 并 且 标 签 也 
没有 设置 读 取 标签 的 上 限 值 ， 因 此 本 协议 可 以 有 效 防止 标签 被 大 量 阅读 器 访问 而 造成 标签 
停止 工作 。 上 述 5 种 协议 的 安全 性 能 分 析 如 表 4-1 所 示 。 


表 4-1 安全 性 能 分 析 

















ee a re 

Hash-Lock 

x x 
安全 协议 

x x 
协议 
Hash 链 协 议 Ea x 
基于 Hash 的 ID 变 

光 v 
化 协议 
分 布 式 RFID 询 J 
问 -应 答 认 证 协议 





除了 以 上 介绍 的 RFID 安全 协议 外 ，X. Gao 等 人 的 Good Reader 协议 、D. Molnar 等 人 
的 David 数字 图 书馆 协议 也 是 具有 一 定 优点 的 RFID 安全 协议 。 


7. Good Reader 协议 
Good Reader 协议 是 单 向 认证 协议 ， 认 证 读 写 器 是 否 合法 ， 需 要 约定 读 写 器 标识 Reader 


ID 首先 被 存放 在 标签 中 ， 标 签 可 以 通过 它 所 存储 的 读 写 器 标识 来 验证 读 写 器 的 合法 性 。 该 
协议 的 认证 过 程 如 图 4-5 所 示 。 





4-5 ”认证 过 程 


标签 通过 比较 先前 计算 过 的 信息 和 接收 到 的 信息 是 否 相等 来 判别 读 写 器 的 合法 性 。 此 
协议 可 以 有 效 防止 因 固定 输出 而 引起 的 位 置 跟踪 和 假冒 的 问题 ， 并 且 数 据 库 中 不 需要 进行 
大 量 的 Hash 运算 ， 这 样 大 大 缩短 了 运算 时 间 。 但 该 协议 没有 对 标签 进行 认证 ， 且 标签 中 需 
要 存储 读 写 器 的 标识 ， 大 大 增加 了 标签 的 存储 容量 ， 从 而 增加 了 标签 的 成 本 。 
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8. David 数字 图 书馆 协议 


David 数字 图 书馆 协议 使 用 基于 预 共享 秘密 的 伪 随 机 函数 来 实现 认证 ， 系 统 运行 之 前 ， 
后 端 数 据 库 和 每 一 个 标签 之 间 需 要 预先 共享 一 个 秘密 值 。 

读 写 器 生成 一 个 秘密 随机 数 R， 向 标签 发 送 认 证 请 求 Query, 将 及 也 发 送 给 标签 。 该 协 
议 必 须 在 标签 电路 中 包含 实现 随机 数 生成 器 和 安全 伪 随 机 函数 的 两 大 功能 模块 ， 故 而 该 协 
议 不 适用 于 低 成 本 的 RFID 系统 。 


4.2.4 轻 量 级 密码 算法 


轻 量 级 (Light Weighb 加 密 算 法 在 密 钥 长 度 、 加 密 轮 数 等 方面 作 了 改进 ， 使 之 对 处 理 器 
计算 能 力 的 要 求 和 对 硬件 资源 的 开销 均 有 不 同 程度 的 降低 , 却 足 以 提供 所 要 求 的 加 密 性 能 。 
在 许多 RFID 低 成 本 无 源 电子 标签 (如 RFID 门票 ) 中 ， 所 进行 的 加 密 算法 只 是 为 了 换取 一 个 
时 间 代价 ， 即 只 要 能 够 保证 标签 内 的 信息 在 所 要 求 的 一 个 时 间 段 内 安全 即 可 。 流 密码 中 的 
RC4 算法 和 分 组 密码 中 的 PRESENT 算法 , 都 属于 对 称 加 密 算法 , 即 加 密 和 解密 使 用 相同 的 
密 钥 ， 故 能 较 容易 做 到 算法 的 轻 量化 ， 而 椭圆 曲线 加 密 算法 是 非 对 称 加 密 算法 。 利 用 
ATmaga-32 单片机 硬件 平台 对 这 3 种 算法 的 运行 效率 和 密码 破译 时 间 进 行 分 析 比 较 ， 得 出 
在 硬件 资源 同样 极端 受 限 的 环境 下 ， 椭 圆 曲 线 加 密 算法 的 运行 效率 要 高 于 另外 两 种 ， 所 生 
成 的 密码 最 难 被 破译 ， 证 明了 非 对 称 加 密 算法 同样 可 以 做 到 轻 量 化 。 


1. 椭圆 曲线 加 密 算法 


椭圆 曲线 密码 体制 ECC(Elliptic Curve Cryptography) 被 IEEE 公 钥 密码 标准 P1363 采用 。 
椭圆 曲线 并 非 椭圆 ， 椭 圆 曲 线 的 曲线 方程 是 以 下 形式 的 三 次 方程 
ytaxy +hy=x tcx +dxte 
其 中 a，b,，c，q,，e 是 满足 某 些 简单 条 件 的 实数 。 

椭圆 曲线 定义 如 下 : 椭圆 曲线 是 指 在 射影 平 tr 
上 满足 Weierstrass 方 程 的 一 条 光滑 曲线 和 一 个 
无 穷 远 点 的 集合 。 本 节 所 选取 的 这 条 光滑 曲线 可 
以 表示 为 E:， 六 = 他 taX+Bb， 此 时 方程 的 特征 值 
为 大 于 3 的 素数 。 

点 加 运算 是 椭圆 曲线 上 一 条 很 重要 的 运算 
规则 ， 有 具体 规则 如 下 : 任意 选取 椭圆 曲线 上 两 点 
P，Q( 车 P，Q 两 点 重合 ， 则 作 已 点 的 切线 ) 作 直 
线 , 交 于 椭圆 曲线 的 另 一 点 R'， 过 R 必 了 轴 的 平 
行 线 交 于 R 则 有 PHO=R。 

图 4-6 给 出 了 椭圆 曲线 的 点 加 运算 法 则 。 如 
果 椭 圆 曲 线 上 的 三 个 点 4、S、C 处 于 同一 条 直线 
上 ,那么 它们 的 和 等 于 零 元 , 即 4+S+C=0。k 个 相同 的 点 P 相 加 , 记 作 有 P, 如 P+P+P=2P+P=3P。 


2. RC4 算法 


RC4 算法 非常 简单 ， 易 于 描述 : 用 从 1 一 256 个 字 节 (8 一 2048 位 ) 的 可 变 长 度 密 钥 初始 
化 一 个 256 字 节 的 状态 矢量 S$，5 的 元 素 记 为 8[0]，S[1]，.……，8[255]， 从 始 至 终 置 换 后 的 8 





























图 4-6 椭圆 曲线 加 法 法 则 
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包含 从 0 一 255 的 所 有 8 比特 数 。 对 于 加 密 和 解密 ， 字 节 由 8 中 256 个 元 素 按 一 定 方式 选 出 
一 个 元 素 而 生成 。 每 生成 一 个 值 ，S 中 的 元 素 就 被 重新 置换 一 次 。 

(1) 初始 化 S: 开始 时 , S 中 元 素 的 值 被 置 为 按 升序 从 0 到 255, 即 S[0]=0, ST1]=1, …， 
S[255]=255。 同 时 建立 一 个 临时 矢量 T。 如 果 密 钥 天 的 长 度 为 256 字 节 ， 则 将 天 赋 给 7。 和 否 
则 若 密 钥 长 度 为 keylen 字 节 , 则 将 下 的 值 赋 给 7 了 的 前 keylen 个 元 素 ， 并 循环 重复 用 天 的 值 
赋 给 了 剩 下 的 元 素 ， 直 到 了 的 所 有 元 素 都 被 赋值 。 

(2) 密 钥 流 的 生成 : 矢量 5 一 旦 完成 初始 化 ， 输 入 密 钥 就 不 再 被 使 用 。 密 钥 流 的 生成 
是 从 S[0] 到 8[255]， 对 每 个 S[], 根据 当前 $ 的 值 , 将 SI 与 8 中 的 另 一 字 节 置换 ， 当 S[255] 
完成 置换 后 ， 操 作 继续 重复 ， 从 S[0] 开 始 。 加 密 中 ， 将 天 的 值 与 下 一 明文 字 节 异 或 ， 解 密 
中 ， 将 下 的 值 与 下 一 密 文字 节 异 或 。 以 RC4 算法 为 核心 加 密 算法 提出 的 加 密 方案 如 图 4-7 
所 示 。 
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图 4-7 RC4 加 密 方案 


3. PRESENT 算法 


PRESENT 是 由 A. Bogdanov, L. R. Knuden 和 G. Lender 等 人 于 2007 年 提出 来 的 超 轻 量 
级 分 组 密码 算法 ， 在 应 用 上 更 多 地 考虑 到 了 面积 和 功 耗 上 的 限制 条 件 ， 同 时 又 不 降低 密码 
本 身 的 安全 性 。 它 的 设计 思路 是 在 数据 加 密 标准 DES 的 基础 上 ,结合 了 入 选 AES 的 最 后 一 
轮 的 五 种 算法 之 一 的 Seipent 在 硬件 实现 上 的 良好 特性 。PRESENT 的 非 线性 置换 层 S 盒 与 
Serpent 密码 算法 有 些 类 似 , 线性 置换 层 与 DES 密码 算法 有 些 类 似 ， 由 于 仅仅 使 用 4 进 4 出 
的 S 盒 、 比 特 移 位 和 模 2 加 运算 ， 因 此 PRESENT 有 很 好 的 硬件 实现 性 能 。PRESENT 密码 
算法 的 设计 论文 中 做 了 一 些 基 本 的 密码 安全 性 分 析 ， 之 后 有 相关 学 者 在 论文 中 进行 了 减少 
轮 数 的 分 析 , 但 迭代 轮 数 为 31 轮 的 PRESENT 仍然 可 以 抵抗 各 种 攻击 方法 。PRESENT 密码 
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加 加 册 遇 册 | 物 联 网 安全 技术 



























































算法 的 加 密 流 程 如 图 4-8 所 示 。 
明文 P 密 钥 产生 Key 
Oe 
sBoxLayer 密 钥 更 新 
pLayer 
I 1 
! | 
SBoxLayer 
密 钥 更 新 
pLayer 
+ addRoundKey 
密 文 C 


图 4-8 PRESENT 密码 算法 的 加 密 流程 

其 中 ，P 一 64 位 明文 ，C 一 64 位 密 文 ;K 一 用 户 提供 的 密 钥 :KK 一 第 i 轮 密 钥 。 

PRESENT 是 一 个 密 钥 长 度 可 变 的 分 组 欠 代 算法 ， 密 钥 长 可 分 别 是 80 或 128 比特 ， 分 
组 长 度 是 64 位 ， 其 输入 分 组 、 输 出 分 组 和 状态 都 为 64 位 。 数 据 块 的 每 一 次 转换 操作 产生 
一 个 中 间 结 果 ， 这 个 中 间 结 果 叫 作 状 态 STATE。PRESENT 采用 的 是 替代 /置换 (SP) 网 络 结 
构 ， 如 图 4-9 所 示 ， 每 轮 由 三 层 组 成 : 轮 密 钥 加 函数 addRoundKey，S 盒 代 换 层 sBoxLayer 
和 置换 层 pLayer， 轮 密 钥 生成 方案 KeySchedule 则 用 于 生成 各 轮 用 到 的 轮 密 钥 。 

64 位 明文 了 经 过 31 轮 的 迭代 和 最 后 一 轮 的 轮 密 钥 的 “白化 操作 后 , 得 到 64 位 密 文 C。 
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图 4-9 PRESENT 的 SP 结构 
4. 轻 量 级 分 组 加 密 算法 LBlock 
在 RFID 这 样 的 资源 受 限 环境 中 实现 的 分 组 加 密 必 须 是 轻 量 级 的 , 轻 量 级 密码 处 理 的 数 
据 规 模 较 小 ， 因 而 加 密 算法 的 数据 吞吐 量 的 要 求 比 普通 分 组 加 密 要 低 得 多 。 另 外 ， 轻 量 级 
分 组 密码 大 多 采用 硬件 实现 ， 要 求实 现 占用 的 空间 要 小 ， 这 个 通常 用 实现 算法 需要 的 等 效 
门 数 GE(Gate Equivalent) 来 衡量 。GE 表示 独立 于 制造 技术 的 数字 电路 复杂 性 的 度量 单位 。 
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设计 轻 量 级 分 组 加 密 的 方法 主要 有 两 种 : 一 种 是 在 现 有 算法 的 基础 上 ， 对 密码 算法 的 组 件 
进行 轻 量 级 改进 ， 另 一 种 是 设计 一 个 全 新 的 轻 量 级 算法 。 目 前 比较 知名 的 轻 量 级 分 组 加 密 
有 PRESENT、HIGHT、CGEN、DESL、M1BS 等 。 中 国学 者 吴 文 玲 设计 了 一 种 轻 量 级 分 组 
密码 ， 中 文 名 叫 “ 和 鲁班 锁 ” 英文 名 叫 LBlock， 既 是 LuBan lock 的 缩写 ， 也 有 Lightweight 
Blockcipher 的 意思 。 

LBlock 的 分 组 长 度 为 64 比特 ， 密 钥 长 度 为 80 比特 ， 对 差分 密码 分 析 、 线 性 密码 分 析 、 
不 可 能 差分 密码 分 析 、 相 关 密 钥 攻击 等 具有 足够 的 安全 宛 余 。 算 法 具有 优良 的 硬件 实现 效 
率 ， 仅 仅 需 要 866.3 GE， 同 时 在 8 位 和 32 位 处 理 器 上 有 很 好 的 实现 性 能 。 


4.3 传感器 网 络 安全 


根据 ITU 的 物 联网 报告 , 无 线 传感器 网 络 是 物 联网 的 第 二 个 关键 技术 。RFID 的 主要 功 
能 是 对 物体 的 识别 ， 而 传感器 网 络 的 主要 功能 是 感知 。 无 线 传感器 网 络 是 大 范围 、 多 位 置 
的 感知 。 通 俗 地 说 ， 传 感 器 是 可 以 感知 外 部 环境 参数 的 小 型 计算 节点 ， 传 感 器 网 络 是 大 量 
传感器 节点 构成 的 网 络 ， 用 于 不 同 地 点 、 不 同 种 类 的 参数 的 感知 或 数据 的 采集 ， 无 线 传 感 
器 网 络 则 是 利用 无 线 通 信 技 术 来 传递 感知 的 数据 的 网 络 。 


4.3.1 无 线 传感器 网 络 简介 


无 线 传感器 网 络 (Wireless Sensor Networks，WSN) 是 集成 了 传感器 技术 、 微 机 电 系 统 技 
术 、 无 线 通信 技术 以 及 分 布 式 信息 处 理 技术 于 一 体 的 新 型 网 络 。 随 着 科学 技术 的 发 展 ， 信 
息 的 获取 变 得 更 加 纷繁 复杂 ， 所 有 保存 事物 状态 、 过 程 和 结果 的 物理 量 都 可 以 用 信息 来 描 
述 。 传 感 器 的 发 明和 应 用 ， 极 大 地 提高 了 人 类 获取 信息 的 能 力 。 传 感 器 信息 获取 从 单一 化 
到 集成 化 、 微 型 化 ， 进 而 实现 智能 化 、 网 络 化 ， 成 为 获取 信息 的 一 个 重要 手段 。 无 线 传 感 
器 网 络 在 很 多 场合 (如 军事 感知 战场 、 环 境 监 控 、 道 路 交通 监控 、 勘 探 、 医 疗 等 ) 都 承担 着 重 
要 的 作用 。 


1. 无 线 传感器 网 络 的 体系 结构 


1) ”传感器 节点 的 物理 结构 

在 不 同 的 应 用 场景 中 ,传感器 节点 的 组 成 不 尽 相同 , 但 是 从 结构 上 来 说 一 般 包含 以 下 4 
个 部 分 : 数据 采集 、 数 据 处 理 、 数 据 传输 和 电源 。 感 知 信号 的 形式 通常 决定 了 传感器 的 类 
型 。 而 现 有 的 传感器 节点 的 处 理 器 通常 是 嵌入 式 CPU, 如 ARM 公司 的 ARM 系列 、Motorola 
的 68HC16 和 Intel 公司 的 8086 等 。 数 据 传输 单元 主要 由 低 功 耗 、 短 距离 的 无 线 模块 组 成 ， 
如 RFM 公司 的 TR1000 等 。 另 外 ， 运 行 于 传感器 网 络 上 的 微型 化 的 操作 系统 主要 负责 复杂 
任务 的 系统 调度 与 管理 ， 比 较 常 见 的 有 UC Berkeley 开发 的 TinyOS 以 及 h COS-I 嵌入 式 
Linux。 如 图 4-10 所 示 是 一 个 典型 的 传感器 节点 体系 结构 ， 传 感 器 模块 负责 数据 的 感知 和 产 
生 及 数 模 转换 ， 信 息 处 理 模块 负责 进行 信号 处 理 ， 最 后 经 由 无 线 通信 模块 发 射出 去 。 
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图 4-10 传感器 节点 体系 结构 


传感器 网 络 节点 的 技术 参数 主要 包括 如 下 几 项 。 

(1) 电池 能 量 。 传 感 器 的 能 量 一 般 由 电池 提供 ， 一 次 性 电池 原则 上 可 工作 几 年 时 间 。 

(2) 传输 范围 。 由 于 传感器 节点 能 量 有 限 ， 节 点 的 传输 范围 只 能 被 限制 在 一 个 很 小 的 
范围 之 内 (通常 是 100m 以 内 , 一 般 为 1 一 10m), 否则 会 造成 传感器 的 能 量 枯竭 。 一些 技 术 ( 比 
如 数据 聚集 传输 技术 ) 通 过 先 将 数据 进行 聚集 ， 然 后 传输 聚集 的 结果 (而 不 是 每 个 数据 ) 来 减 
少 能 量 的 消耗 ， 帮 助 减少 传感器 节点 的 传输 能 

(3) 网 络 带宽 。 传 感 器 网 络 的 带宽 通常 只 有 几 十 kb/s, 如 使 用 蓝牙 协议 时 小 于 723kb/s， 
使 用 802.15.4ZigBee 协议 时 为 250kb/s。 

(4) 内 存 大 小 。 传 感 器 节点 的 内 存 大 小 一 般 在 6 一 8kb， 而 且 一 般 的 空间 被 传感器 网 络 
的 操作 系统 所 占据 ， 例 如 TinyOS。 内 存 大 小 通常 会 影响 密 钥 管理 方案 的 可 行 性 ， 即 密 钥 管 
理 方案 必须 能 够 有 效 地 利用 剩余 的 存储 空间 ， 完 成 密 钥 的 存储 、 缓 存 消 息 等 。 

(5) 预先 部 署 的 内 容 。 通 常 ， 传 感 器 网 络 具有 随机 性 和 动态 性 ， 因 为 不 可 能 获取 应 用 
环境 的 所 有 情况 。 预 先 在 传感器 节点 上 配置 的 信息 通常 是 密 钥 类 的 信息 ， 例 如 ， 通 过 预先 
在 节点 中 存储 一 些 秘密 共享 密 钥 ， 使 得 网 络 在 部 署 之 后 能 够 实现 节点 间 的 安全 通信 。 

2) ”典型 研究 对 象 

加 州 大 学 伯克利 分 校 发 起 的 Smart Dust 项 目 开 发 了 多 种 传感器 节点 ， 如 WeC、Mica、 
Mica2、MicaZ 等 。 目 前 普遍 采用 的 是 2004 年 开发 的 Telos 节点 ， 采 用 TI 公司 的 MSP430 
处 理 器 ， 正 常 工作 状态 下 功 耗 3 mW， 该 处 理 器 芯片 具有 五 种 低 功 耗 模 式 ， 一般 睡眠 模式 下 
功 耗 仅 为 225nW， 深 度 睡眠 模式 下 功 耗 仅 为 7.8nW。 内 存 10KB， 闪 存 48KB。 采 用 的 通信 
芯片 是 Chipcon 公司 的 CC2420 通信 芯片 , 工作 在 2.4GHz 频道 上 ,符合 IEEE 802.15.4 协议 
规范 ， 数 据 传输 率 达 到 250Kb/s。 

3) “无 线 传感器 网 络 的 网 络 结构 

无 线 传 感 器 网 络 在 不 同 的 应 用 场景 中 的 网 络 拓扑 结构 可 能 不 同 。 比 较 典 型 的 应 用 方式 
是 : 无 线 传感器 节点 被 任意 地 散落 在 监测 区 域 ， 然 后 节点 间 以 自 组 织 的 形式 构建 网 络 ， 对 
感知 参数 进行 监测 并 生成 感知 数据 , 最 后 通过 短 距 离 无 线 通信 (如 ZigBee) 经 过 多 次 转发 将 数 
据 传送 到 网 关 (Sink 节点 或 者 汇聚 节点 )， 网 关 通 过 远 距离 无 线 通信 网 络 (如 GPRS) 将 数据 发 
到 控制 中 心 。 也 有 传感器 节点 直接 将 感知 的 数据 发 给 控制 中 心 的 ， 这 便 是 一 种 典型 的 M2M 
通信 场景 。 

一 般 而 言 ， 无 线 传感器 网 络 的 结构 可 以 分 为 分 布 式 网 络 结构 和 集中 式 网 络 结构 两 种 。 

(1) 分 布 式 无 线 传感器 网 络 : 分 布 式 无 线 传感器 网 络 没有 固定 的 网 络 结构 ， 网 络 拓扑 
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结构 在 部 署 前 也 无 法 确定 。 传 感 器 节点 通常 随机 部 署 在 目标 区 域 中 ， 一 旦 节点 被 部 署 ， 它 
们 就 开始 在 自己 的 通信 范围 内 ， 寻 找 邻 居 节 点 ， 建 立 数据 传输 路 径 。 如 图 4-11 所 示 为 分 布 
式 网 络 结构 的 示意 图 。 





〇 传感器 节点 
图 4-11 分 布 式 网 络 结构 


(2) 集中 式 无 线 传感器 网 络 : 在 集中 式 无 线 传感器 网 络 中 ， 依 据 节点 能 力 的 不 同 可 以 
分 为 基站 、 簇 头 (Cluster Head) 节 点 和 普通 节点 。 基 站 是 一 个 控制 中 心 , 通常 认为 它 具 有 很 高 
的 计算 和 存储 能 力 ， 可 以 实施 多 种 控制 命令 。 基 站 的 功能 包括 以 下 几 种 : 典型 的 网 络 应 用 
中 的 网 关 、 具 有 强大 的 数据 存储 /处 理 能 力 、 用 户 的 访问 接口 。 基 站 通常 被 认为 是 抗 攻 击 、 
可 信赖 的 ， 因 而 基站 可 成 为 网 络 中 的 密 钥 分 发 中 心 。 节 点 通常 部 署 在 与 基站 一 跳 或 多 跳 的 
范围 内 ， 多 跳 节 点 形成 一 个 簇 结 构 ( 簇 结构 即 包 含 一 个 簇 头 节点 和 多 个 普通 节点 或 子 节点 的 
树 状 结构 )。 基 站 具有 很 强 的 传输 能 力 ， 通 常 可 以 与 任意 一 个 网 络 内 的 节点 通信 ， 而 节点 的 
通信 能 力 则 取决 于 节点 自身 的 能 量 水 平和 位 置 。 依 据 通信 方式 的 不 同 ， 网 络 内 的 数据 流 可 
以 分 为 : 点 对 点 通信 、 组 播 通信 、 基 站 到 节点 的 广播 通信 。 如 图 4-12 所 示 为 集中 式 网 络 结 
构 的 简 图 。 





基站 





〇 传感器 节点 
图 4-12 集中 式 网 络 结构 的 简 图 


在 设计 安全 方案 时 ， 无 线 传 感 器 网 络 需 要 考虑 到 以 下 特点 。 

(1) 网 络 节点 数量 众多 ， 节 点 密度 大 ( 即 单位 面积 内 的 节点 数量 较 多 )。 

(2) 网 络 拓扑 结构 不 稳定 ， 拓 扑 结构 随时 会 发 生变 化 。 

(3) 传感器 节点 受到 应 用 环境 和 节点 成 本 的 限制 ， 计 算 和 通信 能 力 有 限 。 

(4) 能 量 受 限 ， 无 线 传感器 网 络 由 于 部 署 在 特定 环境 中 ， 通 常 没有 持续 的 外 接 电 能 供 
应 ， 多 以 电池 作为 能 量 源 。 

无 线 传感器 网 络 的 分 布 式 结构 ， 类 似 Ad Hoc 网 络 结构 ， 可 自 组 织 网 络 接 入 连接 ， 分 布 
管理 。 无 线 传感器 网 络 的 网 状 式 结构 ， 类 似 Mesh 网 络 结构 ， 网 状 分 布 连接 和 管理 。 传 感 器 
网 络 的 详细 结构 如 图 4-13 所 示 。 
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卫星 或 移动 通信 网 络 


监控 中 心 


4-13 ”传感器 网 络 的 详细 结构 


在 传感器 网 络 中 ， 每 个 节点 的 功能 都 是 相同 的 ， 大 量 传感器 节点 被 布置 在 整个 被 观测 
区 域 中 ， 各 个 传感器 节点 将 自己 所 探测 到 的 有 用 信息 通过 初步 的 数据 处 理 和 信息 融合 之 后 
传送 给 用 户 ， 数 据 传送 的 过 程 是 通过 相 邻 节点 的 接力 传送 的 方式 传送 回 基站 ， 然 后 再 通过 
基站 以 卫星 信道 或 者 有 线 网 络 连 接 的 方式 传送 给 最 终 用 户 。 


2. 无 线 传感器 网 络 的 软件 框架 


在 无 线 传感器 的 内 部 软件 结构 中 ， 最 底层 是 应 用 程序 接口 APD， 由 相关 的 函数 库 、 硬 
件 接口 程序 组 成 ， 构 成 了 整个 系统 软件 框架 的 基础 。 应 用 程序 接口 (APD 的 上 层 是 任务 调度 
(TS) 模 块 和 协议 栈 (BPS)。 前 者 用 于 系统 各 任务 的 创建 、 执 行 和 通信 ， 后 者 执行 无 线 通信 的 
底层 协议 。 任 务 调度 (TS) 模 块 是 用 户 应 用 程序 (UD) 的 基础 ， 而 协议 栈 (BPS) 则 保证 了 无 线 传 
感 器 符合 无 线 通信 规范 的 要 求 。 通 用 访问 协议 (GAP) 保 证 了 无 线 传感器 网 络 传输 的 可 靠 性 。 
传感器 规范 (SF) 定 义 了 不 同 传感器 的 软件 驱动 与 接口 规范 。 用 户 应 用 接口 (UD 定义 了 应 用 程 
序 访问 传感器 数据 的 规范 。 数 据 采集 (DC) 是 具体 传感器 应 用 系统 的 数据 采集 应 用 程序 。 


4.3.2 ”传感器 网 络 安全 威胁 分 析 


从 安全 的 角度 看 ， 无 线 传感器 网 络 有 其 自身 的 特点 ， 使 它 不 同 于 传统 网 络 ， 又 不 同 于 
移动 自 组 织 网 。 无 线 传感器 网 络 自身 的 特性 决定 了 其 安全 技术 设计 的 基本 特点 : 能 量 低 和 
容易 受到 攻击 。 因 此 ， 无 线 传感器 网 络 安全 面临 的 问题 和 挑战 主要 集中 在 以 下 两 个 方面 。 

(1) 无 线 传感器 网 络 的 低能 量 特点 使 节能 成 为 安全 技术 设计 要 考虑 的 一 个 重要 指标 。 
应 用 于 无 线 传感器 网 络 通信 协议 的 安全 算法 需要 消耗 能 量 。 这 主要 有 三 方面 : (DCPU 对 安 
全 算法 计算 (加 密 、 解 密 、 数 据 签 名 、 数 据 签 名 认证 等 ) 的 能 耗 ， 大 小 取决 于 CPU 的 功率 损 
耗 、 时 钟 频率 和 用 于 处 理 该 算法 的 时 钟 个 数 。 公 钥 加 密 算 法 (如 RSA) 是 计算 密集 型 的 算法 ， 
每 执行 一 个 安全 操作 都 需要 CPU 执行 几 百 万 甚至 更 多 的 乘法 指令 操作 。 而 对 称 密 钥 加 密 算 
法 的 加 密 、 解 密 和 用 于 签名 认证 的 散 列 函数 ， 所 需 CPU 操作 指令 数 却 少 得 多 。 因 此 选择 不 
同 的 安全 机 制 将 会 深 深 影响 WSN 的 寿命 。 @Sensor 收发 器 用 于 收发 与 安全 有 关 的 数据 和 负 
载 的 能 耗 。 对 无 线 传感器 网 络 应 用 安全 协议 ， 需 要 交换 密 钥 管 理 信 息 ， 包 括 会 话 密 钥 、 认 
证 密 钥 及 用 于 说 明 密 钥 可 用 的 现在 时 参数 和 表明 密 钥 有 效 性 时 间 的 参数 等 。 在 安全 机 制 实 
现 过 程 中 ， 会 对 原始 报 文 添加 很 多 负载 信息 ， 如 用 于 对 报 文 进行 散 列 认 证 所 需 的 报 文 填充 
物 (Padding)、MAC、 签 名 等 都 需要 收发 器 额外 耗 能 。 不 同 的 加 密 算 法 和 协议 需要 的 报 文 附 
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加 头 是 不 一 样 的。 总 体 来 说 ， 对 称 密 钥 加 密 算 法 比 公 钥 加 密 算 法 所 需 密 钥 管 理 信息 要 少 得 
多 。@ 存 储 单元 用 于 存储 与 安全 机 制 有 关 的 参数 的 能 耗 。 会 话 密 钥 、 认 证 密 钥 及 用 于 说 明 
密 钥 可 用 的 现在 时 参数 和 表明 密 钥 有 效 性 时 间 的 参数 的 存储 都 需要 额外 耗 能 。 以 上 3 个 因 
素 极 大 地 限制 了 设计 者 对 WSN 安全 机 制 的 选择 。 存 储 能 耗 相对 来 说 很 少 ， 可 以 忽略 不 计 。 
因此 ，WSN 安全 协议 设计 的 主要 考虑 因素 应 该 是 密 钥 分 发 机 制 和 安全 协议 通信 引起 的 额外 
能 耗 。 

(2) 无 线 传感器 网 络 很 容易 受到 攻击 者 的 破坏 。 由 于 无 线 传感器 网 络 是 无 线 通 信 ， 攻 
击 者 可 轻易 在 该 网 络 的 任务 域 里 监听 信道 ， 向 信道 里 注射 比特 流 ， 重 放 以 前 监听 到 的 数据 
包 。Sensor 随机 部 署 在 无 人 值守 的 外 部 空间 (如 敌 方 阵营 )， 攻 击 者 可 轻易 捕获 该 节点 ， 重 写 
内 存 ， 或 者 用 自己 的 Sensor 来 蔡 代 该 节点 ， 通 过 冒充 以 获得 数据 信息 。 由 于 每 个 Sensor 都 
具有 有 限 的 不 可 再 生 的 能 源 、 计 算 能 力 较 差 的 CPU 及 容量 较 低 的 内 存 和 闪存 ， 因 此 ， 无 线 
收发 器 的 接收 距离 短 ， 可 轻易 受到 强大 的 攻击 点 ( 指 与 上 述 性 能 比较 而 言 占 绝对 优势 ) 的 破 
坏 。 该 类 攻击 点 可 以 利用 信号 发 送 距离 远 的 特点 ， 在 全 网 范围 内 实施 攻击 ， 监 听 整 个 WSN 
的 数据 传输 。 同 时 利用 其 强大 的 功率 和 数据 发 送 能 力 ， 频 繁 向 任务 域 发 送 数据 包 ， 阻 塞 
Sensor 使 其 失效 。 攻 击 点 利用 自身 在 硬件 性 能 方面 的 优势 ， 伪 装 成 WSN 的 基站 ， 或 者 改变 
Sensor 的 路 由 使 自身 成 为 蠕虫 洞 。Sensor 由 于 受到 攻击 点 的 破坏 或 者 自身 耗 尽 能 量 退 出 该 
网 络 时 ， 该 网 络 的 路 由 和 密 钥 管理 机 制 也 会 发 生 相 应 的 变化 ， 因 此 要 求 新 节点 在 加 入 网 络 
时 必须 得 到 相关 的 认证 ， 并 且 安全 路 由 机 制 也 应 该 是 具有 容错 功能 的 。 


4.3.3 ”无线 传感器 网 络 的 安全 需求 分 析 


通常 无 线 传感器 网 络 会 被 部 署 在 不 易 控制 、 无 人 看 守 、 边 远 、 易 于 唱 到 恶劣 环境 破坏 
或 恶意 破坏 和 攻击 的 环境 中 ， 因 而 无 线 传感器 网 络 的 安全 问题 成 为 研究 的 热点 。 由 于 传 感 
器 节点 本 身 计算 能 力 和 能 量 受 限 的 特点 ， 寻 找 轻 量 级 (计算 量 小 、 能 耗 低 ) 的 适合 于 无 线 传 感 
器 网 络 特点 的 安全 手段 是 安全 研究 所 面临 的 主要 挑战 。 


1. 安全 需求 


(1) 通信 与 储存 数据 的 机 密 性 。 无 线 传感器 网 络 通信 不 应 当 向 攻击 者 泄露 任何 敏感 的 
信息 。 在 许多 应 用 中 ， 节 点 之 间 传 递 的 是 高 度 敏感 的 数据 或 者 控制 信息 。 节 点 保存 的 感知 
数据 、 秘 密 密 钥 及 其 他 传感器 网 络 中 的 机 密 信 息 (如 传感器 的 身份 标识 等 )， 必 须 只 有 授权 的 
用 户 才能 访问 。 同 时 ， 因 密 钥 泄露 造成 的 影响 应 当 尽 可 能 控制 在 一 个 小 的 范围 内 ， 从 而 使 
得 一 个 密 钥 的 泄露 不 至 于 影响 整个 网 络 的 安全 。 解 决 通信 机 密 性 主要 依靠 使 用 通信 双方 共 
享 的 会 话 密 钥 来 加 密 待 传递 的 消息 ， 解 决 存储 机 密 性 主要 依靠 加 密 数 据 的 访问 控制 。 

(2) 消息 认证 和 访问 节点 认证 。 节 点 身份 认证 在 无 线 传感器 网 络 的 许多 应 用 中 是 非常 
重要 的 。 例 如 攻击 者 极 易 向 网 络 注 入 信息 ， 接 收 者 只 有 通过 身份 认证 才能 确信 消息 是 从 正 
确 的 节点 发 送 过 来 的 。 数 字 签 名 通常 不 适用 于 通信 和 能力、 计算 速度 和 存储 空间 都 相当 有 限 
的 传感器 节点 ， 传 感 器 网 络 通常 使 用 基于 对 称 密码 学 的 认证 方法 ， 即 判断 对 方 是 否 拥有 共 
享 的 对 称 密 钥 来 进行 身份 的 认证 。 

(3) 通信 数据 和 存储 数据 的 完整 性 。 资 源 有 限 的 传感器 无 法 支持 高 计算 量 的 数字 签名 
算法 ， 通 常 使 用 对 称 密 钥 体制 的 消息 鉴别 码 来 进行 数据 完整 性 检验 。 
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(4) 新 鲜 性 。 在 无 线 传感器 网 络 中 ， 基 站 和 簇 头 需要 处 理 很 多 节点 发 送 过 来 的 采集 信 
息 ， 为 防止 攻击 者 进行 任何 形式 的 重 放 攻击 (将 过 去 窃听 的 消息 重复 发 送 给 接收 者 ， 耗 费 其 
资源 ， 使 其 不 能 提供 正常 服务 )， 必 须 保证 每 条 消息 是 新 鲜 的 。 由 于 密 钥 可 能 需要 进行 更 新 ， 
因而 新 鲜 性 还 体现 在 密 钥 的 建立 过 程 中 ， 即 通信 双方 所 共享 的 密 钥 是 最 新 的 。 

(5) 可 扩展 性 (Scalability)。 这 是 无 线 传感器 网 络 的 特色 之 一 ， rd 
分 布 范围 广 ， 环 境 条 件 、 恶 意 攻击 或 任务 的 变化 可 能 会 影响 传感器 网 络 的 配置 。 同 时 ， 

点 的 经 常 加 入 、 物 理 破 坏 或 电量 耗 尽 等 也 会 使 得 网 络 的 拓扑 结构 不 断 发 生变 化 。 

(6) 可 用 性 (Availability)。 无 线 传感器 网 络 的 安全 解决 方案 所 提供 的 各 种 服务 能 被 授权 
用 户 使 用 ， 并 能 有 效 防 止 非法 攻击 者 企图 中 断 传感器 网 络 服务 的 恶意 攻击 。 

(7) 健壮 性 (Robustness)。 无 线 传感器 网 络 一 般配 置 在 恶劣 环境 或 无 人 区 域 ， 环 境 条 件 、 
现实 威胁 和 当前 任务 具有 很 大 的 不 确定 性 。 

(8) 自 组 织 性 (Self-Organization)。 由 于 无 线 传感器 网 络 是 由 一 组 传感器 以 自 组 织 的 (Ad Hoc) 
方式 构成 的 无 线 网 络 ， 这 就 决定 了 相应 的 安全 解决 方案 也 应 当 是 自 组 织 的 ， 即 在 无 线 传 感 
器 网 络 配置 之 前 通常 无 法 假定 节点 的 任何 位 置信 息 和 网 络 的 拓扑 结构 ， 也 无 法 确定 某 个 节 
点 的 邻近 节点 集 。 


2. 安全 方案 设计 时 的 考虑 因素 


由 于 无 线 传感器 网 络 本 身 的 特点 ， 其 安全 目标 的 实现 与 一 般 网 络 不 同 ， 在 研究 和 移植 
各 种 安全 技术 时 ， 必 须 进一步 考虑 以 下 约束 。 

(1) 能 量 限制 。 节 点 在 部 署 后 很 难 蔡 换 和 充电 ， 所 以 低能 耗 是 设计 安全 算法 时 首要 考 
虑 的 因素 。 能 耗 特 点 包括 : 通信 芯片 能 耗 占 整 个 传感器 节点 能 耗 的 比重 最 大 ， 如 常用 的 
TelosB 节点 上 ，CPU 在 正常 状态 下 电流 只 有 500 mA， 而 通信 芯片 在 发 送 和 接收 数据 时 的 电 
流 近 200 mA。 另 外 ， 低 功 耗 的 通信 芯片 在 发 送 状 态 和 接收 状态 消耗 的 能 量 差别 不 大 。 因 而 ， 
安全 方案 应 该 尽量 减少 通信 (如 协议 交互 ) 的 次 数 。 

(2) 有 限 的 存储 、 运 行 空间 和 计算 能 力 。 目 前 微 处 理 器 一 般配 有 4 一 10 KB 内 存 ，48 一 
128 KB 闪存 。 

(3) 节点 的 物理 安全 无 法 保证 .在 进行 安全 设计 时 , 必须 考虑 被 攻击 者 所 控制 的 节点 (也 
称 为 被 俘 节 点 、 妥 协 节 点 ) 的 检测 、 撤 除 问 题 ， 来 自 内 部 被 俘 节 点 发 起 的 攻击 ， 同 时 还 要 将 
被 俘 节 点 导致 的 安全 隐患 扩散 限制 在 最 小 范围 内 。 

(4) 节点 布置 的 随机 性 。 节 点 往往 是 被 随机 地 投放 到 目标 区 域 的 ， 节 点 之 间 的 位 置 关 
系 一 般 在 布置 前 是 不 可 预知 的 。 

(5) 通信 的 不 可 靠 性 。 无 线 通信 信道 的 不 稳定 、 节 点 并 发 通信 的 冲突 和 多 跳 路 由 的 较 
大 延迟 ， 使 得 设计 安全 算法 时 必须 考虑 容错 问题 ， 应 合理 地 协调 节点 通信 ， 并 尽 可 能 减少 
对 时 间 同 步 的 要 求 。 

另外 ， 无 线 传 感 器 网 络 的 应 用 十 分 广泛 ， 而 不 同 的 应 用 场景 对 安全 的 需求 往往 是 不 同 
的 ， 应 该 根据 实际 的 应 用 来 分 析 具 体 的 安全 需求 。 


4.3.4 无 线 传感器 网 络 的 安全 攻击 与 防御 
1. 常见 网 络 攻 击 方法 
由 于 传感器 网 络 采用 无 线 通 信 ， 开 放 的 数据 链 路 是 不 安全 的 ， 攻 击 者 可 以 窃听 通信 的 
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(4) 新 鲜 性 。 在 无 线 传感器 网 络 中 ， 基 站 和 簇 头 需要 处 理 很 多 节点 发 送 过 来 的 采集 信 
息 ， 为 防止 攻击 者 进行 任何 形式 的 重 放 攻击 (将 过 去 窃听 的 消息 重复 发 送 给 接收 者 ， 耗 费 其 
资源 ， 使 其 不 能 提供 正常 服务 )， 必 须 保证 每 条 消息 是 新 鲜 的 。 由 于 密 钥 可 能 需要 进行 更 新 ， 
因而 新 鲜 性 还 体现 在 密 钥 的 建立 过 程 中 ， 即 通信 双方 所 共享 的 密 钥 是 最 新 的 。 

(5) 可 扩展 性 (Scalability)。 这 是 无 线 传感器 网 络 的 特色 之 一 ， rd 
分 布 范围 广 ， 环 境 条 件 、 恶 意 攻击 或 任务 的 变化 可 能 会 影响 传感器 网 络 的 配置 。 同 时 ， 

点 的 经 常 加 入 、 物 理 破 坏 或 电量 耗 尽 等 也 会 使 得 网 络 的 拓扑 结构 不 断 发 生变 化 。 

(6) 可 用 性 (Availability)。 无 线 传感器 网 络 的 安全 解决 方案 所 提供 的 各 种 服务 能 被 授权 
用 户 使 用 ， 并 能 有 效 防 止 非法 攻击 者 企图 中 断 传感器 网 络 服务 的 恶意 攻击 。 

(7) 健壮 性 (Robustness)。 无 线 传感器 网 络 一 般配 置 在 恶劣 环境 或 无 人 区 域 ， 环 境 条 件 、 
现实 威胁 和 当前 任务 具有 很 大 的 不 确定 性 。 

(8) 自 组 织 性 (Self-Organization)。 由 于 无 线 传感器 网 络 是 由 一 组 传感器 以 自 组 织 的 (Ad Hoc) 
方式 构成 的 无 线 网 络 ， 这 就 决定 了 相应 的 安全 解决 方案 也 应 当 是 自 组 织 的 ， 即 在 无 线 传 感 
器 网 络 配置 之 前 通常 无 法 假定 节点 的 任何 位 置信 息 和 网 络 的 拓扑 结构 ， 也 无 法 确定 某 个 节 
点 的 邻近 节点 集 。 


2. 安全 方案 设计 时 的 考虑 因素 


由 于 无 线 传感器 网 络 本 身 的 特点 ， 其 安全 目标 的 实现 与 一 般 网 络 不 同 ， 在 研究 和 移植 
各 种 安全 技术 时 ， 必 须 进一步 考虑 以 下 约束 。 

(1) 能 量 限制 。 节 点 在 部 署 后 很 难 蔡 换 和 充电 ， 所 以 低能 耗 是 设计 安全 算法 时 首要 考 
虑 的 因素 。 能 耗 特 点 包括 : 通信 芯片 能 耗 占 整 个 传感器 节点 能 耗 的 比重 最 大 ， 如 常用 的 
TelosB 节点 上 ，CPU 在 正常 状态 下 电流 只 有 500 mA， 而 通信 芯片 在 发 送 和 接收 数据 时 的 电 
流 近 200 mA。 另 外 ， 低 功 耗 的 通信 芯片 在 发 送 状 态 和 接收 状态 消耗 的 能 量 差别 不 大 。 因 而 ， 
安全 方案 应 该 尽量 减少 通信 (如 协议 交互 ) 的 次 数 。 

(2) 有 限 的 存储 、 运 行 空间 和 计算 能 力 。 目 前 微 处 理 器 一 般配 有 4 一 10 KB 内 存 ，48 一 
128 KB 闪存 。 

(3) 节点 的 物理 安全 无 法 保证 .在 进行 安全 设计 时 , 必须 考虑 被 攻击 者 所 控制 的 节点 (也 
称 为 被 俘 节 点 、 妥 协 节 点 ) 的 检测 、 撤 除 问 题 ， 来 自 内 部 被 俘 节 点 发 起 的 攻击 ， 同 时 还 要 将 
被 俘 节 点 导致 的 安全 隐患 扩散 限制 在 最 小 范围 内 。 

(4) 节点 布置 的 随机 性 。 节 点 往往 是 被 随机 地 投放 到 目标 区 域 的 ， 节 点 之 间 的 位 置 关 
系 一 般 在 布置 前 是 不 可 预知 的 。 

(5) 通信 的 不 可 靠 性 。 无 线 通信 信道 的 不 稳定 、 节 点 并 发 通信 的 冲突 和 多 跳 路 由 的 较 
大 延迟 ， 使 得 设计 安全 算法 时 必须 考虑 容错 问题 ， 应 合理 地 协调 节点 通信 ， 并 尽 可 能 减少 
对 时 间 同 步 的 要 求 。 

另外 ， 无 线 传 感 器 网 络 的 应 用 十 分 广泛 ， 而 不 同 的 应 用 场景 对 安全 的 需求 往往 是 不 同 
的 ， 应 该 根据 实际 的 应 用 来 分 析 具 体 的 安全 需求 。 


4.3.4 无 线 传感器 网 络 的 安全 攻击 与 防御 
1. 常见 网 络 攻 击 方法 
由 于 传感器 网 络 采用 无 线 通 信 ， 开 放 的 数据 链 路 是 不 安全 的 ， 攻 击 者 可 以 窃听 通信 的 
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内 容 ， 实 施 干扰 。 而 且 传感器 节点 通常 工作 在 无 人 区 域 ， 缺 乏 物理 保护 ， 容 易 损 坏 ， 且 攻 : 
击 者 可 以 获取 节点 , 读 取 存 储 内 容 甚至 写 入 恶意 代码 。 攻 击 通常 与 使 用 的 数据 链 路 层 协议 (如 
IEEE 802.15.4)、 网 络 层 协 议 ( 如 路 由 协议 、 传 输 层 协议 ) 有 关 。 本 节 首 先 按 网 络 体系 各 层 归纳 
各 种 攻击 方法 ， 然 后 对 各 种 攻击 简单 进行 分 类 。 
(1) 阻塞 Jamming) 攻 击 : 一 种 针对 无 线 通信 的 DoS 攻击 。 攻 击 方法 是 干扰 正常 节点 通 
信 所 使 用 的 无 线 电 波 频率 ， 以 达到 干扰 正常 通信 的 目的 。 攻 击 者 只 需要 在 节点 数 为 W 的 网 








(2) 耗 尽 (Exhaustion) 攻 击 : 恶意 节点 侦 听 附近 节点 的 通信 ， 当 一 帧 快 发 送 完 时 ， 恶 意 
节点 发 送 干扰 信号 。 传 统 的 MAC 层 协 议 中 的 控制 算法 往往 会 重 传 该 帧 , 反复 重 传 造成 被 干 
扰 节 点 电源 很 快 被 耗 尽 。 自 杀 式 的 攻击 节点 甚至 一 直 对 被 攻击 节点 发 送 请 求 (Request) 信 号 ， 
使 得 对 方 必须 回答 , 这 样 两 个 节点 都 耗 尺 电源 。 这 一 攻击 的 原理 可 能 与 具体 MAC 层 协议 (如 
IEEE 802.15.4) 有 关 。 

(3) 非 公 平 竞争 攻击 。 由 于 无 线 信道 是 单一 访问 的 共享 信道 ， 采 取 竞 争 方式 进行 信道 
的 分 配 ， 该 攻击 是 指 在 网 络 中 的 某 些 恶意 节点 总 是 占用 链 路 信道 ， 采 用 一 些 设置 ， 如 较 短 
的 等 待 时 间 进 行 重 传 重 试 、 预 留 较 长 的 信道 占用 时 间 等 ， 企 图 不 公平 地 占用 信道 。 这 一 攻 
击 的 原理 与 MAC 层 协 议 有 关 。 

(4) 汇聚 节点 (Homing) 攻 击 : 传感器 网 络 中 有 些 节 点 执行 路 由 转发 功能 ，Homing 攻击 
就 是 针对 这 一 类 节点 。 攻 击 者 只 需要 监听 网 络 通信 ， 就 可 以 知道 筷 头 的 位 置 ， 然 后 对 其 发 
动 攻 击 。 簇 头 瘫痪 后 ， 在 一 段 时 间 内 整个 簇 都 不 能 工作 。Homing 攻击 也 属于 DoS 攻击 的 
一 种 。 

(5) 仍 慢 和 贪 禁 (Neglect and Greed) 攻 击 : 其 含义 是 少 转发 、 不 转发 或 多 转发 收 到 的 数 
据 包 。 攻 击 者 处 于 路 由 转发 路 径 上 ， 它 随机 地 对 收 到 的 数据 包 不 予 转发 处 理 。 如 果 向 消息 
源 发 送 收 包 确认 ， 但 是 把 数据 包 丢弃 不 予 转发 ， 该 攻击 称 为 仍 慢 (NeglecD。 如 果 被 攻击 者 改 
装 的 节点 对 自己 产生 的 数据 包 设 定 很 高 的 优先 级 ， 使 得 这 些 恶意 信息 在 网 络 中 被 优先 转发 ， 
该 攻击 称 为 贪 禁 (Greed)。 

(6) 方向 误导 (Misdirection) 攻 击 : 这 里 的 方向 是 指数 据 包 转发 的 方向 。 如果 被 攻击 者 所 
控制 的 路 由 节点 将 收 到 的 数据 包 发 送 给 错误 的 目标 ， 则 数据 源 节点 受到 攻击 ， 如 果 将 所 有 
数据 包 都 转发 给 同一 个 正常 节点 ， 则 该 节点 会 很 快 因 接 收 包 而 耗 尽 电 源 。 

(7) 黑洞 (Black Holes) 攻 击 : 又 称 为 排水 洞 (Sinkholes) 攻 击 。 攻 击 者 (用 A 表示 ) 声 称 自 
己 具有 一 条 高 质量 的 路 由 到 基站 的 路 径 ， 比 如 广播 “我 到 基站 的 距离 为 零 ”。 如 果 A 能 发 送 
到 很 远 的 无 线 通信 距离 ， 则 收 到 该 信息 的 大 量 节点 会 向 A 发 送 数 据 。 大 量 数 据 到 达 A 的 邻 
居 节 点 ， 它 们 都 要 给 A 发 送 数据 ， 造 成 信道 的 竞争 。 由 于 竞争 ， 邻 居 节 点 的 电源 很 快 被 耗 
尽 ， 这 一 区 域 就 成 了 黑洞 ， 通 信 无 法 传递 过 去 。 对 于 收 到 的 数据 ，A 可 能 不 予 处 理 。 黑 洞 
攻击 的 破坏 性 很 强 ， 基 于 距离 向 量 (Distance Vector) 的 路 由 算法 容易 受到 黑洞 攻击 ， 因 为 这 
些 路 由 算法 将 距离 较 短 的 路 径 作为 优先 传递 数据 包 的 路 径 。 

(8) 虫 洞 (Wormholes) 攻 击 : 通常 由 两 个 移动 主机 攻击 者 合作 进行 。 一 个 主机 A 在 网 络 
的 一 边 收 到 一 条 消息 , 比如 基站 的 查询 请 求 , 通过 低 延 迟 链 路 传 给 距离 很 远 的 另 一 个 主机 B， 
B 就 可 以 直接 广播 出 去 , 这 样 , 收 到 B 广播 的 节点 就 会 把 传感器 的 数据 发 给 B， 因 为 收 到 了 B 
广播 的 节点 认为 这 是 一 条 到 达 A 的 捷径 。 
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(9) Hello 泛 洪 (Hello Flood) 攻 击 : 在 许多 协议 中 ， 节 点 通过 发 送 一 条 Hello 消息 表明 自 
己 的 身份 ， 而 收 到 该 消息 的 节点 认为 发 送 者 是 自己 的 邻居 (因为 数据 包 可 以 到 达 )。 但 移动 主 
机 攻击 者 可 以 将 Hello 消息 传播 得 很 远 , 远 处 的 正常 节点 收 到 消息 之 后 于 是 把 攻击 者 当成 自 
己 的 邻居 。 这 些 节点 会 与 “邻居 ”( 移 动 主机 攻击 者 ) 通 信 ， 导 致 网 络 流量 的 混乱 。 传 感 器 网 
络 中 的 几 个 路 由 协议 ， 如 LEACH 和 TEEN， 易 受 这 类 攻击 ， 特 别 是 当 Hello 包 中 含有 路 由 
信息 或 定位 信息 时 。 

(10) 女巫 (Sybij) 攻 击 : 是 指 一 个 节点 冒充 多 个 节点 ， 它 可 以 声称 自己 具有 多 个 身份 ， 
至 随意 产生 多 个 假 身份 ， 利 用 这 些 身份 非法 获取 信息 并 实施 攻击 。Sybil 攻击 能 破坏 传感器 
网 络 的 路 由 算法 ， 还 能 降低 数据 汇聚 算法 的 有 效 性 。 

(11) 破坏 同步 (Desynchronization) 攻 击 : 在 两 个 节点 正常 通信 时 ， 攻 击 者 监听 并 向 双方 
发 送 带 有 错误 序列 号 的 包 ， 使 得 双方 误 以 为 发 生 了 丢失 而 要 求 对 方 重 传 。 攻 击 者 使 正常 通 
信 双 方 不 停 地 重 传 消息 ， 从 而 耗 尽 电源 。 

(12) 泛 洪 攻击 (Flooding): 指 攻击 者 不 断 地 要 求 与 邻居 节点 建立 新 的 连接 ， 从 而 耗 尽 邻 
居 节 点 用 来 建立 连接 的 资源 ， 使 得 其 他 合法 的 对 邻居 节点 的 请 求 不 得 不 被 忽略 。 

(13) 应 用 层 攻 击 : 如 感知 数据 的 窃听 、 算 改 、 重 放 、 伪 造 等 ， 节 点 不 合作 行为 ， 对 应 
用 层 功 能 如 节点 定位 、 节 点 数据 收集 和 融合 等 的 攻击 ， 使 得 这 些 功能 出 现 错误 。 

表 4-2 给 出 了 无 线 传感器 网 络 中 网 络 攻击 的 分 类 。 


表 4-2 无线 传 感 器 网 络 中 网 络 攻击 的 分 类 





























分 类 标准 说 明 
的 | 节点 型 攻击 “| 攻击 者 与 传感器 节点 的 计算 和 通信 能 力 相当 
移动 主机 型 攻击 ”| 攻击 者 与 移动 电脑 同 级 别 ， 危 害 范围 广 
ee | 外 部 攻击 。 ”| 政 击 者 是 敌 方 放置 的 ， 可 以 是 节点 或 移动 电脑 
内 部 攻击 网 络 中 的 节点 被 攻击 者 所 控制 ， 从 网 络 内 部 发 起 攻击 
物理 层 攻击 阻塞 攻击 


数据 链 路 层 攻击 __| 耗 尽 攻击 、 非 公平 竞争 攻击 
汇聚 节点 攻击 、 俘 慢 和 贪 禁 攻击 、 方 向 误导 攻击 、 黑 洞 攻 击 、 
虫 洞 攻击 、Hello 泛 洪 、 女 巫 攻 击 





攻击 发 生 的 协议 层次 | 网 络 层 攻击 


传输 层 攻击 破坏 同步 攻击 、 泛 洪 攻击 
应 用 层 攻击 如 感知 数据 的 窃听 、 算 改 、 重 放 、 伪 造 等 ， 节 点 不 合作 
2. 常用 防御 机 制 


对 于 物理 层 的 攻击 (如 Jamming 攻击 ) 使 用 扩 频 通信 可 以 有 效 地 防止 。 另 一 对 策 是 ， 攻 
击 节点 附近 的 节点 觉察 到 Jamming 之 后 进入 睡眠 状态 , 保持 低能 耗 。 然后 定期 检查 Jamming 
是 否 已 经 消失 ， 如 果 消 失 则 进入 活动 状态 ， 向 网 络 通报 Jamming 的 发 生 。 

对 于 传输 层 的 攻击 (如 Flooding)， 一 种 对 策 是 使 用 客户 端 谜 题 (Client Puzzle)， 即 如 果 客 
户 要 和 服务 器 建立 一 个 连接 ， 必 须 首 先 证 明 自 己 已 经 为 连接 分 配 了 一 定 的 资源 ， 然 后 服务 
器 才 为 连接 分 配 资源 ， 这 样 就 增 大 了 攻击 者 发 起 攻击 的 代价 。 这 一 防御 机 制 对 于 攻击 者 同 
样 是 传感器 节点 时 很 有 效 ， 但 是 合法 节点 在 请 求 建立 连接 时 也 增 大 了 开销 。 
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对 于 俘 慢 和 贪 禁 攻 击 ， 可 用 身份 认证 机 制 来 确认 路 由 节点 的 合法 性 ， 或 者 使 用 多 路 径 
路 由 来 传输 数据 包 ， 使 得 数据 包 在 某 条 路 径 被 丢弃 后 ， 数 据 包 仍 可 以 被 传送 到 目的 节点 。 

抵抗 黑洞 攻击 可 采用 基于 地 理 位 置 的 路 由 协议 。 因 为 拓扑 结构 建立 在 局 部 信息 和 通信 
上 ， 通 信 通 过 接收 节点 的 实际 位 置 自然 地 寻 址 ， 所 以 在 别 的 位 置 成 为 黑洞 就 变 得 很 困难 了 。 

对 付 女巫 攻击 有 两 种 探测 方法 。 一 种 是 资源 探测 法 ， 即 检测 每 个 节点 是 否 都 具有 应 该 
具备 的 硬件 资源 。Sybil 节点 不 具有 任何 硬件 资源 ， 所 以 容易 被 检测 出 来 。 但 是 当 攻 击 者 的 
计算 和 存储 能 力 都 比 正常 传感器 节点 大 得 多 时 ， 则 攻击 者 可 以 利用 丰富 的 资源 伪装 成 多 个 
Sybil 节点 。 另 一 种 是 无 线 电 资 源 探测 法 ， 通 过 判断 某 个 节点 是 否 有 某 种 无 线 电 发 射 装置 来 
判断 是 否 为 Sybil 节点 ， 但 这 种 无 线 电 探测 非常 耗 电 。 

对 于 更 多 的 攻击 ， 通 常 采用 加 密 和 认证 机 制 提供 解决 方案 。 例 如 对 于 分 簇 节点 的 数据 
层 层 聚集 ， 可 使 用 同 态 加 密 、 秘 密 共 享 的 方法 。 对 于 节点 定位 安全 ， 可 采取 门限 密码 学 以 
及 容错 计算 的 方法 等 。 如 表 4-3 所 示 ， 给 出 了 对 攻击 防御 方法 的 小 结 。 


表 4-3 ”无 线 传感器 网 络 攻击 防御 方法 


网 络 层次 防御 方法 

阻塞 攻击 扩 频 、 优 先 级 消息 、 区 域 映 射 、 模 式 转换 
物理 破坏 。 | 破坏 感知 、 节 点 伪装 和 隐藏 

明 | 糙 尽 攻击 。 | 设置 竞争 门限 

区 加 链 路 层 。 [和平 况 争 ”| 合用 短 相 策略 和 非 优先 级 策 隐 

| 总 慢 和 全 禁 攻 击 。 。 ”| 元 余 路 径 、 探 测 机 制 

加 密 和 逐 跳 (Hop-to_Hop) 认 证 机 制 

| 方向 误导 攻击 ”| 由 口 过 滤 、 认 证 、 监 测 机 制 

黑洞 攻击 认证 、 监 测 、 宛 余 机 制 

破坏 同步 攻击 认证 


i 泛 洪 攻击 客户 端 谜 题 


感知 数据 的 窃听 、 算 改 、 重 放 、| 加 密 、 消 息 鉴别 、 认 证 、 安 全 路 由 、 安 全 数据 聚集 、 安 全 
应 用 层 伪造 数据 融合 、 安 全 定位 、 安 全 时 间 同 步 


节点 不 合作 信任 管理 、 入 侵 检测 


4.3.5 传感器 网 络 安全 防护 主要 手段 
1. 链 路 层 加 密 与 验证 


通过 链 路 层 加 密 和 使 用 全 局 共享 密 钥 验证 ， 可 以 防止 对 大 多 数 路 由 协议 的 外 部 攻击 ， 
攻击 者 很 难 加 入 网 络 拓扑 中 。 所 以 Sybil 攻击 、 人 怠慢 和 贪 禁 、 黑 洞 攻击 很 难 达到 攻击 目的 。 
但 是 , 虫 洞 攻击 和 Hello 泛 洪 攻 击 不 受 链 路 层 加 密 和 验证 机 制 的 限制 。 在 内 部 攻击 或 “叛变 ” 
节点 存在 的 情况 下 ， 使 用 全 局 共享 密 钥 的 链 路 层 安 全 机 制 将 完全 无 效 。 

2. 身份 验证 


Sybil 攻击 使 攻击 者 利用 “叛变 ”节点 的 身份 加 入 网 络 ， 并 且 可 使 用 全 局 共享 密 钥 将 其 
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伪装 成 任何 节点 (这 些 节 点 可 能 不 存在 )。 因 此 ， 必 须 对 节点 身份 进行 验证 。 按 照 传统 方法 ， 
可 以 使 用 公共 密 钥 加 密 来 实现 。 但 数字 签名 的 产生 和 验证 将 超出 传感器 节点 的 能 力 范围 。 
一 种 解决 方案 是 使 用 可 信任 的 基站 使 每 个 节点 共享 唯一 的 对 称 密 钥 ， 两 个 节点 之 间 可 使 用 
像 Needham-schroeder 这 样 的 协议 相互 验证 身份 ， 并 建立 一 个 共享 密 钥 。 为 了 防止 内 部 攻击 
在 固定 网 络 周 围 漫游 并 与 网 络 中 的 每 个 节点 建立 共享 密 钥 ， 基 站 可 合理 限制 其 邻近 节点 的 
数量 ， 当 数量 超过 时 则 发 送 错误 消息 告警 并 采取 一 定 的 防御 措施 。 

3. 链 路 双向 验证 


最 简单 的 防御 Hello 泛 洪 攻 击 的 方法 是 在 对 接收 消息 采取 动作 之 前 , 对 链 路 进行 双向 验 
证 。 使 用 上 面 所 述 的 身份 鉴定 机 制 ， 可 以 有 效 地 防止 Hello 泛 洪 攻 击 。 这 种 协议 不 仅 能 够 对 
两 个 节点 之 间 的 链 路 进行 双向 验证 ， 而 且 即 使 对 于 接收 机 高 度 敏感 或 在 网 络 多 个 位 置 有 
Wormhole 的 攻击 者 ， 当 少量 节点 “叛变 ”时 ， 可 信任 的 基站 仍 可 以 通过 限制 节点 、 验 证 邻 
近 节 点 的 数目 来 防止 Hello 泛 洪 攻击 。 


4. 多 径路 由 


如 果 “ 叛 变 ” 节 点 位 于 基站 附近 ， 即 使 协议 能 防止 Sinkholes、Worm hole 和 Sybil 攻击 ， 
“叛变 ”节点 也 很 可 能 对 其 数据 流 发 起 选择 性 转发 攻击 ， 可 使 用 多 路 径路 由 对 抗 选择 性 转 
发 攻击 。 该 方法 可 以 完全 防护 最 多 n 个 “叛变 ”节点 和 节点 完全 不 相交 (Disjoint) 的 n 条 路 径 
上 路 由 的 消息 被 选择 转发 攻击 ， 而 且 在 n 个 节点 完全 “叛变 ”时 这 种 方法 也 能 提供 一 些 防 
护 。 但 是 ， 很 难得 到 n 条 完全 不 相交 的 路 径 。 在 网 状 路 径 上 ， 有 共用 节点 ， 但 没有 共用 链 
路 ( 即 没有 2 个 连续 的 共用 节点 )。 使 用 多 个 网 状 路 径 ， 可 以 为 选择 性 转发 提供 可 能 的 防护 ， 
而 且 只 需要 局 部 的 信息 。 如 果 允 许 节点 从 一 组 可 能 的 “ 跳 ” 中 动态 地 随机 选择 包 的 下 一 跳 ， 
则 可 以 进一步 减少 攻击 者 对 数据 流 完全 控制 的 机 会 。 


5. Wormhole 和 Sinkholes 的 对 抗 策 略 


Wormhole 和 Sinkholes 攻击 是 安全 路 由 协议 设计 的 最 大 挑战 。 目 前 存在 的 路 由 协议 中 ， 
防御 这 些 攻击 的 有 效 措 施 很 少 。 预 防 这 些 攻 击 是 相当 困难 的 ,最 好 的 办 法 是 设计 使 Wormhole 
和 Sinkholes 攻击 无 效 的 路 由 协议 。 例 如 ， 基 于 地 理 位 置 的 路 由 协议 就 是 一 种 阻止 这 些 攻 击 
的 协议 。 基 于 地 理 位置 的 路 由 协议 只 需要 使 用 局 部 交互 信息 而 不 需要 基站 的 初始 化 信息 就 
可 以 构建 路 由 拓扑 。 使 用 基于 地 理 位置 的 路 由 协议 很 容易 探测 Wormhole 和 虚假 链 路 ， 因 为 
“邻居 ”节点 将 会 注意 到 它们 之 间 的 距离 超过 了 正常 的 无 线 通信 距离 。 

6. 全 局 消息 平衡 机 制 

网 络 固有 的 自 组 织 和 分 布 性 是 大 型 传感器 网 络 安全 面临 的 重大 挑战 。 当 网 络 规模 有 限 、 
拓扑 结构 良好 或 可 控 时 ， 可 使 用 全 局 消息 平衡 机 制 。 以 一 个 具有 较 小 规模 的 网 络 为 例 ， 如 
果 部 署 时 没有 “叛变 ”节点 ， 则 可 以 构成 一 个 初始 路 由 拓扑 ， 每 个 节点 能 够 将 邻近 节点 信 
息 和 节点 本 身 的 地 理 位 置信 息 发 回 基站 。 基 站 可 以 使 用 这 种 信息 来 绘制 整个 网 络 的 拓扑 。 
考虑 到 由 于 无 线 干扰 或 节点 失效 引起 的 拓扑 变化 ， 网 络 应 该 定期 进行 拓扑 更 新 。 拓 扑 的 急 
剧 或 可 疑 变 化 可 能 表示 有 节点 “叛变 ”由 此 可 以 采取 一 些 相 应 的 防护 措施 。 
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4.3.6 传感器 网 络 典型 安全 技术 
1. 拓扑 控制 技术 


拓扑 控制 技术 是 无 线 传感器 网 络 中 最 重要 的 技术 之 一 。 在 由 无 线 传感器 网 络 生成 的 网 
络 拓扑 中 ， 可 以 直接 通信 的 两 个 节点 之 间 存 在 一 条 拓扑 边 。 如 果 没 有 拓扑 控制 ， 所 有 节点 
都 会 以 最 大 无 线 传输 功率 工作 。 在 这 种 情况 下 ， 一 方面 ， 节 点 有 限 的 能 量 将 被 通信 部 件 快 
速 消耗 ， 降 低 了 网 络 的 生命 周期 。 同 时 ， 网 络 中 每 个 节点 的 无 线 信号 将 覆盖 大 量 其 他 节点 ， 
造成 无 线 信号 冲突 频繁 ， 影 响 节点 的 无 线 通信 质量 ， 降 低 网 络 的 吞吐 率 。 另 一 方面 ， 在 生 
成 的 网 络 拓扑 中 将 存在 大 量 的 边 ， 从 而 导致 网 络 拓扑 信息 量 大 、 路 由 计算 复杂 ， 浪 费 了 宝 
贵 的 计算 资源 。 因 此 ， 需 要 研究 无 线 传感器 网 络 中 的 拓扑 控制 问题 ， 在 维持 拓扑 的 某 些 全 
局 性 质 的 前 提 下 ， 通 过 调整 节点 的 发 送 功率 来 延长 网 络 生命 周期 ， 提 高 网 络 吞 吐 量 ， 降 低 
网 络 干扰 ， 节 约 节 点 资源 。 

目前 对 拓扑 控制 的 研究 可 以 分 为 两 大 类 : 一 类 是 计算 几何 方法 ， 以 某 些 几 何 结构 为 基 
础 构建 网 络 的 拓扑 ， 以 满足 某 些 性 质 ， 另 一 类 是 概率 分 析 方法 ， 在 节点 按照 某 种 概率 密 
度 分 布 的 情况 下 ， 计 算 使 拓扑 以 大 概率 满足 某 些 性 质 时 节点 所 需 的 最 小 传输 功率 和 最 小 
邻居 个 数 。 


2. MAC 协议 


传统 的 蜂窝 网 络 中 存在 中 心 控制 的 基站 , 由 基站 保持 全 网 同步 , 调度 节点 接 入 信道 。 而 
无 线 传感器 网 络 是 一 种 多 跳 无 线 网 络 ， 很 难保 持 全 网 同步 ， 这 与 单 跳 的 蜂窝 网 络 有 着 本 质 
的 区 别 。 因此， 传统 的 基于 同步 的 、 单 跳 的 、 静 态 的 MAC 协议 并 不 能 直接 搬 到 无 线 传感器 
网 络 中 来 ,， 这些 都 使 得 无 线 传感器 网 络 中 的 MAC 协议 的 设计 面临 新 的 挑战 。 与 所 有 共享 介 
质 的 网 络 一 样 ， 媒 体 访问 控制 (MAC) 是 使 得 WSN 能 够 正常 运作 的 重要 技术 。MAC 协议 一 
个 最 主要 的 任务 就 是 避免 冲突 ， 使 两 个 节点 不 会 同时 发 送 消息 。 在 设计 一 个 出 色 的 无 线 传 
感 器 网 络 MAC 协议 时 , 我 们 还 应 该 考虑 以 下 几 点 : 首先 , 是 能 量 有 限 。 就 像 前 面 所 说 到 的 
网 络 中 的 传感器 节点 是 由 电池 来 提供 能 量 的 ， 并 且 很 难为 这 些 节 点 更 换 电池 。 而 事实 上 ， 
我 们 也 希望 这 些 传感器 节点 更 加 便宜 ， 可 以 在 用 完 之 后 随时 丢弃 ， 而 不 是 重复 使 用 它 。 因 
此 , 怎样 通过 节点 延长 网 络 的 使 用 周期 是 设计 MAC 协议 的 一 个 关键 问题 。 另 一 个 重要 因素 
就 是 对 网 络 规模 、 节 点 密度 和 拓扑 结构 的 适应 性 。 在 无 线 传感器 网 络 中 ， 节 点 随时 可 能 因 
电池 耗 尽 而 死亡 ， 也 有 一 些 节点 会 加 入 网 络 中 ， 还 有 一 些 节点 会 移动 到 其 他 的 区 域 。 网 络 
的 拓扑 结构 因为 各 种 问题 在 不 断 地 变化 。 一 个 好 的 MAC 协议 应 该 可 以 轻松 地 适应 这 些 变 
化 。 另 外 ， 绝 大 多 数 MAC 协议 通常 认为 低层 的 通信 信道 是 双向 的 。 但 是 在 WSN 中 ， 由 于 
发 射 功率 或 地 理 位 置 等 因素 , 可 能 存在 单 向 信道 , 这 将 会 给 MAC 协议 的 性 能 带 来 严重 的 影 
响 。 网 络 的 公平 性 、 延 迟 、 香 吐 量 ， 以 及 有 限 的 带宽 都 是 设计 MAC 协议 时 要 考虑 的 问题 。 


3. 路 由 协议 


无 线 传感器 网 络 有 其 自身 的 特点 ， 使 得 它 的 通信 与 当前 一 般 网 络 的 通信 和 无 线 Ad Hoc 
网 络 有 着 很 大 的 区 别 ， 也 使 WSN 路 由 协议 的 设计 面临 很 大 的 挑战 。 
首先 ， 由 于 传感器 网 络 节点 数 众多 ， 不 太 可 能 对 其 建立 一 种 全 局 的 地 址 机 制 ， 因 此 传 
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统 的 基于 PP 地 址 的 协议 不 能 应 用 于 传感器 网 络 。 其 次 ， 与 典型 的 通信 网 络 不 同 ， 几 乎 所 有 
传感器 网 络 的 应 用 都 要 求 所 有 的 传 感 数据 送 到 某 一 个 或 几 个 汇聚 点 ， 由 它们 将 数据 进行 处 
理 ， 再 传送 到 远程 的 控制 中 心 。 再 次 ， 由 于 传感器 节点 的 监测 区 域 可 能 重合 ， 产 生 的 数据 
会 有 大 量 的 元 余 ， 这 就 要 求 路 由 协议 能 够 发 现 并 消除 元 余 ， 有 效 地 利用 能 量 和 带宽 。 最 后 ， 
传感器 节点 受到 传送 功率 、 能 量 、 处 理 能 力 和 存储 能 力 的 严格 限制 ， 需 要 对 能 量 进行 有 效 
管理 。 因 此 ， 在 对 WSN 路 由 协议 ， 甚 至 对 整个 网 络 的 系统 结构 进行 设计 时 ， 需 要 对 网 络 的 
动态 性 (Network Dynamics)、 网 络 节 点 的 放置 (Node Deployment)、 能 量 、 数 据 传送 方式 (包括 
连续 的 、 事 件 驱动 的 、 查 询 驱动 的 以 及 前 两 种 的 混合 方式 )、 节 点 能 力 以 及 数据 聚集 和 融合 
(Aggregation and Fusion) 等 方面 进行 详细 的 分 析 。 

总 体 来 看 ， 无 线 传感器 网 络 路 由 协议 设计 的 基本 特点 可 以 概括 为 : 能 量 低 、 规 模 大 、 
移动 性 弱 、 拓 扑 易 变化 、 使 用 数据 融合 技术 和 通信 的 不 对 称 。 因 此 ， 无 线 传 感 器 网 络 路 由 
面临 的 问题 和 挑战 有 以 下 几 方 面 。 

(1) 传感器 网 络 的 低能 量 特点 使 节能 成 为 路 由 协议 最 重要 的 优化 目标 。 低 能 量 包 括 两 
方面 的 含义 ， 首 先是 指 节点 能 量 储备 低 ， 其 次 是 指 能 源 一 般 不 能 补充 。MANET 的 节点 无 论 
是 车 载 还 是 手持 ， 电 源 一 般 都 是 可 维护 的 ， 而 传感器 网 络 节点 通常 是 一 次 部 署 、 独 立 工 作 ， 
所 以 可 维护 性 很 低 。 相 对 于 传感器 节点 的 储 能 ， 无 线 通信 部 件 的 功 耗 很 高 ， 通 信 功 耗 占 了 
节点 总 功 耗 的 绝 大 部 分 。 因 此 ， 研 究 低 功 耗 的 通信 协议 特别 是 路 由 协议 极为 迫切 。 

(2) 传感器 网 络 的 规模 更 大 ， 要 求 其 路 由 协议 必须 具有 更 高 的 可 扩展 性 。 通 常 认 为 
MANET 支持 的 网 络 规模 是 数 百 个 节点 , 而 传感器 网 络 则 应 能 支持 上 千 个 节点 。 网 络 规模 更 
大 意味 着 路 由 协议 收敛 时 间 更 长 ， 网 络 规模 越 大 ， 主 动 (Proactive) 路 由 协议 的 路 由 收敛 时 间 
和 按 需 (On-demand) 路 由 协议 的 路 由 发 现时 间 就 越 长 ， 而 网 络 拓扑 保持 不 变 的 时 间 间 隔 则 越 
短 。 在 MANET 中 工作 很 好 的 路 由 协议 ， 在 传感器 网 络 中 性 能 却 可 能 显著 下 降 ， 甚 至 根本 
无 法 使 用 。 

(3) 传感器 网 络 拓扑 变化 性 强 , 通常 的 Intemet 路 由 协议 不 能 适应 这 种 快速 的 拓扑 变化 。 
而 这 种 变化 又 不 像 MANET 网 络 那样 是 由 节点 移动 造成 的 ， 因 此 ， 为 MANET 设计 的 路 由 
协议 也 不 适用 于 传感器 网 络 。 这 就 需要 设计 专门 的 路 由 协议 ， 既 能 适应 高 度 的 拓扑 时 变 ， 
又 不 会 引入 过 多 的 协议 开销 或 过 长 的 路 由 发 现 延迟 。 

(4) 使 用 数据 融合 技术 是 传感器 网 络 的 一 大 特点 ， 这 使 传感器 网 络 的 路 由 不 同 于 一 般 
网 络 。 在 一 般 的 数据 传输 网 络 (如 Interet 或 MANET) 中 ， 网 络 层 协议 提供 点 到 点 的 报 文 转 
发 ， 以 支持 传输 层 实现 端 到 端的 分 组 传输 。 而 在 传感器 网 络 中 ， 感 知 节点 没有 必要 将 数据 
以 端 到 端的 形式 传送 给 中 心 处 理 节 点 (Sink) 或 网 关节 点 , 只 要 有 效 数 据 最 终 汇集 到 Sink 节点 
就 达到 了 目的 。 因 此 ， 为 了 减少 流量 和 能 耗 ， 传 输 过 程 中 的 转发 节点 经 常 将 不 同 的 入 口 报 
文 融合 成 数目 更 少 的 出 口 报 文 转发 给 下 一 跳 ， 这 就 是 数据 融合 的 基本 含义 。 采 用 数据 融合 
技术 意味 着 路 由 协议 需要 做 出 相应 的 调整 。 

4. 数据 融合 

数据 融合 是 关于 协同 利用 多 传感器 信息 进行 多 级 别 、 多 方面 、 多 层次 信息 检测 、 相 关 、 
估计 和 综合 以 获得 目标 的 状态 和 特征 估计 以 及 态势 和 威胁 评价 的 一 种 多 级 自动 信息 处 理 过 
程 ， 它 利用 计算 机 技术 对 按时 序 获得 的 多 传感器 的 观测 信息 在 一 定 的 准则 下 加 以 自动 分 析 
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和 综合 ， 从 而 产生 新 的 有 意义 的 信息 ， 而 这 种 信息 是 任何 单一 传感器 所 无 法 获得 的 。 

数据 融合 研究 中 存在 的 问题 主要 有 下 面 几 点 。 

(1) 未 形成 基本 的 理论 框架 和 有 效 的 广义 模型 及 算法 。 

虽然 数据 融合 的 应 用 研究 相当 广泛 ， 但 是 ， 数 据 融合 问题 本 身 至 今 未 形成 基本 的 理论 
框架 和 有 效 的 广义 融合 模型 及 算法 。 目 前 对 数据 融合 问题 的 研究 都 是 根据 问题 的 种 类 ， 各 
自 建立 直观 认识 原理 (融合 准则 )， 并 在 此 基础 上 形成 所 谓 的 最 佳 融合 方案 。 如 典型 的 分 布 式 
监测 融合 ， 已 从 理论 上 解决 了 最 优 融合 准则 、 最 优 局 部 决策 准则 和 局 部 决策 门限 的 最 优 协 
调 方法 ， 并 给 出 了 相应 的 算法 。 但 是 这 些 研究 反映 的 只 是 数据 融合 所 固有 的 面向 对 象 的 特 
点 ， 难 以 构成 数据 融合 这 一 独立 学 科 所 必需 的 完整 理论 体系 ， 使 得 融合 系统 的 设计 具有 一 
定 的 盲目 性 。 

(2) 关联 的 二 义 性 是 数据 融合 中 的 主要 障碍 。 

在 进行 融合 处 理 前 ， 必 须 对 信息 进行 关联 ， 以 保证 所 融合 的 数据 来 自 同一 目标 和 事件 ， 
即 保证 数据 融合 信息 的 一 致 性 。 如 果 对 不 同 目标 或 事件 的 信息 进行 融合 ， 将 难以 使 系统 得 
出 正确 的 结论 ， 这 一 问题 成 为 关联 的 二 义 性 ， 是 数据 融合 中 要 克服 的 主要 障碍 。 由 于 在 多 
传感器 信息 系统 中 引起 关联 二 义 性 的 原因 很 多 ， 例 如 传感器 测量 不 精确 、 干 扰 等 ， 因 此 ， 
怎样 建立 信息 可 融合 性 的 判断 准则 ， 如 何 进一步 降低 关联 的 二 义 性 已 经 成 为 融合 研究 领域 
中 迫切 需要 解决 的 问题 。 

(3) 融合 系统 的 容错 性 或 稳健 性 没有 得 到 很 好 的 解决 。 

冲突 (了 予 盾 ) 信 息 或 传感器 故障 所 产生 的 错误 信息 等 的 有 效 处 理 , 即 系统 的 容错 性 或 稳健 
性 也 是 信息 融合 理论 研究 中 必须 考虑 的 问题 。 


4.3.7 无线 传 感 器 网 络 的 密 钥 管 理 


无 线 传感器 网 络 是 由 大 量 的 具有 感知 能 力 、 计 算 能 力 和 通信 能 力 的 微型 传感器 系统 组 
成 的 网 络 ， 它 可 以 使 人 们 在 任何 时 间 、 地 点 和 任何 环境 条 件 下 获取 大 量 翔实 而 可 靠 的 信息 。 
因此 ， 传 感 器 网 络 在 许多 领域 有 广泛 的 应 用 ， 但 传感器 网 络 一 个 最 大 的 用 途 是 军事 领域 。 
在 这 种 情况 下 ， 认 证 和 密 钥 管理 等 安全 机 制 对 在 敌 方 区 域内 的 传感器 之 间 的 安全 通信 非常 
重要 。 密 钥 预 分 配 是 传感器 网 络 中 最 基本 的 安全 机 制 之 一 ， 它 利用 密码 技巧 使 传感器 节点 
间 能 安全 通信 。 但 是 , 由 于 传感器 节点 上 的 能 源 限 制 , 传感器 利用 传统 的 密 钥 预 分 配方 案 (如 
公开 密 钥 密码 学 、 密 钥 分 布 中 心 ) 是 不 可 行 的 。 

如 果 WSN 传输 的 数据 对 用 户 而 言 是 敏感 的 ， 则 实现 WSN 的 安全 通信 至 关 重 要 。 实 现 
网 络 安全 必须 有 一 个 现实 可 行 的 密 钥 管理 系统 作为 基础 ,由 于 WSN 节点 结构 紧凑 ， 能 力 受 
到 诸多 限制 ,在 有 线 网 络 和 传统 无 线 网 络 中 的 一 些 经 典 密 钥 管理 方案 ， 如 Diffie-Hellman 密 
钥 交 换 协 议 、 密 钥 分 配 中 心 KDC(Key Distribution Center)、RSA 公开 密 钥 体系 等 ， 在 WSN 
中 并 不 适用 。 

(1) WSN 是 一 种 分 布 式 无 线 网 络 , 部 署 之 后 各 节点 之 间 依 靠 协同 工作 完成 任务 。WSN 
的 节点 是 嵌入 式微 设备 ， 网 络 中 并 不 存在 高 性 能 的 服务 器 ， 所 以 不 可 能 使 用 全 局 的 密 钥 分 
配 中 心 KDC 来 完成 密 钥 管理 ,也 不 可 能 存在 全 局 的 公 钥 基础 设施 (Public Key Infrastructure， 
PKD。 

(2) WSN 安全 面临 的 最 大 挑战 是 能 量 消耗 .以 RSA 为 代表 的 非 对称 公 开 密 钥 算 法 使 用 
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大 量 指数 运算 ， 这 对 于 高 性 能 的 PC 或 工作 站 而 言 并 不 存在 困难 ， 但 对 于 性 能 相对 较 低 的 
WSN 节点 而 言 是 很 难 负担 的 。 有 人 做 过 专门 的 相关 研究 ， 试 验 结果 表明 非 对 称 密 钥 算 法 对 
WSN 并 不 适用 。 表 4-4 显示 了 几 种 主要 的 非 对 称 密 钥 算 法 在 几 种 典型 的 WSN 节点 处 理 器 
上 运行 时 的 计算 能 耗 。 以 Motorola 的 MC68328 芯片 为 例 ， 一 次 标准 的 RSA 加 密 (1024bit 
密 钥 ) 就 需要 840mJ 能 量 ， 而 该 芯片 的 最 大 输出 功率 才 52mW， 即 使 是 在 性 能 较 高 的 MIPS 
R4000 上 , 非 对 称 加 密 计算 的 能 耗 所 占用 节点 功率 的 比例 仍然 过 大 , 节点 在 正常 工作 时 无 法 
承受 如 此 大 的 计算 能 











表 4-4 非 对 称 密 钥 算 法 计算 能 耗 








计算 能 耗 
处 理 器 计时 器 /MHz DSA Diffie- 
Si i Heilman 
180 10 3640 
Mc6aa28 16 ls so ji oo js 
MCF5204 33 765 
MPs R4000 |s0 er os lo lJ» jass 





由 于 非 对 称 密 钥 体 制 不 适合 WSN, 现实 的 方案 只 能 考虑 使 用 对 称 密 钥 体制 。 在 Carman 
等 人 的 试验 中 ， 同 样 测试 了 对 称 密 钥 算法 在 WSN 节点 处 理 器 上 运行 的 能 量 消耗 。 表 4-5 显 
示 了 和 表 4-4 中 相同 的 处 理 器 运行 几 种 典型 的 对 称 密 钥 算法 时 的 计算 能 耗 。 


表 4-5 对称 密 钥 算法 计算 能 耗 
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从 表 4-5 中 可 以 看 出 ， 对 称 密 钥 算法 的 计算 能 量 消耗 较 非 对 称 密 钥 算法 小 几 个 数量 级 ， 
比如 AES 加 密 算 法 的 能 耗 在 百 分 之 一 毫 焦耳 级 以 下 ， 完 全 可 以 在 WSN 中 应 用 , 而 SHA 和 
MDS5 两 种 对 称 密 钥 算 法 中 常用 到 散 列 函数 ， 计 算 能 耗 更 小 。 当 然 ， 对 称 密 钥 算法 的 密 钥 长 
度 比 非 对 称 密 钥 算法 的 密 钥 长 度 小 ， 也 是 表 中 对 称 密 钥 计算 能 耗 相对 于 非 对 称 密 钥 计算 能 
耗 较 小 的 原因 。 实 现 对 称 密 钥 体制 ， 必 须 有 相应 的 密 钥 管 理 方案 作为 支撑 ， 密 钥 管理 方案 
的 实施 通常 有 如 下 3 种 基本 思路 。 

(1) 信任 服务 器 分 配 模型 ， 使 用 协商 双方 都 信任 的 第 三 方 服务 器 完成 节点 之 间 的 密 钥 
协商 过 程 ， 典 型 的 代表 方案 是 Kerberos。 

(2) 自 增强 模型 ， 使 用 非 对 称 密 钥 ， 借 助 数字 证 书 等 方式 管理 密 铀 ， 典 型 的 代表 方案 
是 基于 RSA 的 PKI。 

(3) 密 钥 预 分 布 模型 ， 网 络 节点 开始 工作 前 预先 分 发 密 钥 给 各 节点 ， 节 点 开始 工作 后 
动态 进行 会 话 密 钥 协 商工 作 ， 只 需要 很 简单 的 协议 过 程 ， 整 个 过 程 是 分 布 式 的 ， 不 存在 全 
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局 的 密 钥 管理 服务 器 。 

显然 ,根据 前 面 的 相关 分 析 ， 第 一 、 二 种 方案 都 无 法 在 WSN 中 实施 ， 只 有 第 三 种 方案 
对 于 WSN 而 言 才 是 现实 可 行 的 。 传 感 器 网 络 中 的 节点 部 署 以 后 ， 一 方面 可 通过 预 分 配 的 密 
钥 进行 共享 密 钥 协商 ， 另 一 方面 可 不 直接 分 配 共享 密 钥 。 通 过 预 分 配 密 钥 ， 相 邻 节 点 间 能 
协商 共享 密 钥 的 概率 ， 即 安全 通信 概率 P 达到 一 定 的 值 ， 使 密 钥 共享 图 成 为 安全 连通 图 ， 
就 可 以 实现 整个 网 络 的 安全 通信 。 这 类 方案 的 数学 模型 是 随机 图 论 , P 是 一 个 随机 概率 , 我 
们 称 这 类 方案 为 基于 随机 概率 的 预 分 配方 案 。ESchenauer-Gligor 方案 (简称 EG 方案 ) 和 
Chars-Perrig-Song 方案 (简称 C-P-S 方案 ) 都 是 基于 随机 概率 的 密 钥 预 分 配方 案 。 

1. 密 钥 管理 协议 的 分 类 与 评价 指标 

传感器 节点 间 共 享 的 秘密 密 钥 是 消息 加 密 、 消 息 完整 性 保护 和 传感器 节点 认证 的 主要 
依据 ， 因 此 ， 如 何 产生 、 分 发 、 建 立 、 更 新 、 撤 销 这 些 密 钥 是 一 个 首先 需要 解决 的 安全 
问题 。 

密 钥 管理 协议 分 为 预先 配置 密 钥 协议 、 有 仲裁 的 密 钥 协 议 、 分 组 分 簇 密 钥 协议 等 。 预 
先 配置 密 钥 协议 即 传感器 节点 在 部 署 的 时 候 预 先 分 配 和 安装 将 来 要 使 用 的 密 钥 。 这 种 方法 
简单 ， 但 是 在 动态 无 线 传感器 网 络 中 增加 或 移 除 节点 的 时 候 ， 就 不 灵活 。 在 有 仲裁 的 密 钥 
协议 中 ， 存 在 密 钥 分 配 中心 (Key Distribution Center，KDC) 或 者 可 信 第 三 方 (Trusted Third 
Party，TTP) 负 责 建 立 密 钥 ，KDC 或 TTP 可 以 是 一 个 节点 或 者 分 散在 一 组 可 信任 的 节点 中 。 
分 组 分 簇 密 钥 协议 中 的 节点 被 划分 成 多 个 簇 , 每 个 徐 有 能 力 较 强 (表现 在 剩余 能 量 上 ) 的 一 个 
或 者 多 个 簇 头 ， 协 助 密 钥 分 配 中 心 或 者 基站 共同 管理 整个 无 线 传感器 网 络 。 密 钥 的 初始 化 
分 发 和 管理 一 般 由 簇 头 主持 ， 协 同 簇 内 节点 共同 完成 。 

1) ”预先 配置 密 钥 协议 

(1) 网 络 预 分 配 密 钥 方法 。 无 线 传感器 网 络 中 整个 网 络 共享 一 个 秘密 密 钥 ， 所 有 节点 
在 配置 前 都 要 装载 同样 的 密 钥 。 这 种 方法 简单 ， 但 是 若 某 个 节点 的 密 钥 被 敌人 知道 ， 则 整 
个 网 络 中 使 用 的 密 钥 就 暴露 了 ， 从 而 整个 网 络 的 通信 都 失去 了 保密 性 。 

(2) 节点 间 预 分 配 密 钥 方法 。 在 这 种 方法 中 ， 网 络 中 的 每 个 节点 需要 知道 与 其 通信 的 
所 有 其 他 节点 的 ID 号 ， 在 每 两 个 节点 间 共 享 一 个 独立 的 秘密 密 钥 。 如 果 每 个 节点 都 可 能 与 
网 络 中 的 其 他 节点 通信 ， 并 建立 一 个 共享 的 秘密 密 钥 ， 假 定 节点 总 量 为 n 个 ， 则 每 个 节点 
要 存储 (n-1) 个 密 钥 ， 整 个 网 络 需 要 的 密 钥 总 量 为 n(n-1)/2 个 。 当 节点 数量 达到 几 千 个 时 ， 
密 钥 的 数量 就 比较 大 了 。 

2) ”有 仲裁 的 密 钥 协议 

仲裁 协议 假设 存在 建立 密 钥 的 可 信 第 三 方 。 根 据 密 钥 建立 的 类 型 ， 可 分 为 对 称 密 钥 分 
发 协议 和 公 钥 分 发 协议 。 对 称 密 钥 分 发 通常 有 密 钥 分 发 中 心 。 对 公 钥 的 分 发 通常 比较 容易 。 

密 钥 建立 协议 支持 组 节点 的 密 钥 建 立 ， 即 建立 一 组 节点 之 间 通 信 需 要 使 用 的 密 钥 。 还 
有 一 种 分 等 级 的 密 钥 确立 协议 叫 作 分 层 逻 辑 密 钥 ， 在 具有 相同 层次 的 节点 之 间 建 立 密 钥 关 
系 。 除 了 上 述 分 类 方法 以 外 ， 还 有 其 他 一 些 分 类 方法 。 表 4-6 给 出 了 其 分 类 及 其 描述 。 
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表 4-6 密 钥 管理 名 称 描 述 














密 钥 管理 方案 名 称 描 述 

基于 主 密 钥 的 管理 方案 网 络 中 只 有 单一 的 密 钥 进行 加 密 、 解 密 操作 

对 (pairwisej 密 铀 方案 把 网 络 内 的 通信 转化 为 节点 间 的 通信 模式 ， 通 过 节点 对 之 间 的 安全 实现 网 
络 的 安全 

基于 公 角 的 富 钥 管 理 方案 基于 公 钥 技 术 的 密 钥 管理 方案 ， 例 如 椭圆 曲线 公 钥 密码 技术 在 传感器 网 络 
中 的 实现 
这 是 目前 研究 比较 成 熟 的 模型 ， 其 中 的 方案 主要 有 预 分 配 机 制 、 

预 共 享 的 密 钥 管理 方案 Q-Composite 机 制 、 多 路 增强 机 制 、 随 机 预 分 配方 案 ， 以 及 基于 位 置信 息 
的 密 钥 管理 方案 等 

动态 密 钥 管 理 方案 提高 了 网 络 的 适应 能 力 ， 更 好 地 支持 网 络 规模 的 变化 





集中 式 密 钥 管理 方案 主要 包括 LEAP 协议 、 异 构 传感器 网 络 密 钥 管 理 方案 等 


3) ” 密 钥 管 理 方案 的 评价 指标 

评价 一 种 密 钥 管 理 技术 的 好 坏 ， 不 能 仅 从 能 否 保障 传输 数据 安全 来 进行 评价 ， 还 必须 
满足 如 下 准则 。 

(1) 抗 攻 击 性 (Resistance)， 主 要 指 抗 节点 妥协 的 能 力 。 在 无 线 传感器 网 络 中 ， 敌 人 可 
能 捕获 部 分 节点 并 复制 这 些 节 点 来 发 起 新 的 攻击 。 针 对 这 种 情况 ， 无 线 传 感 器 网 络 必须 能 
够 抵抗 一 定数 量 的 节点 被 捕获 而 发 起 的 新 的 攻击 。 

(2) 密 钥 可 回收 性 (Revocation)。 如 果 一 个 节点 被 敌人 控制 ， 对 网 络 产生 破坏 行为 时 
密 钥 管理 机 制 应 能 采取 有 效 的 方式 从 网 络 中 撤销 (Revoke) 该 节点 。 撤 销 机 制 必须 是 轻 量 级 
的 ， 即 不 会 消耗 太 多 的 网 络 通信 资源 和 节点 能 量 。 

(3) 容 侵 性 (Resilience)。 如 果 节 点 被 捕获 , 密 钥 管理 机 制 应 能 够 保证 其 他 节点 的 密 钥 信 
息 不 会 被 泄露 ， 即 可 以 容忍 网 络 中 被 捕获 的 节点 数 小 于 一 定 的 阔 值 。 同 时 ， 新 节点 能 够 方 
便 地 加 入 网 络 ， 参 与 安全 通信 。 


2. 确定 密 钥 分 配方 案 Blundo 


(1) 节点 间 共 享 密 钥 。 该 模型 保证 了 每 个 节点 之 间 存 在 一 对 共享 密 钥 ， 节 点 间 会 话 密 
钥 的 建立 可 以 利用 该 密 钥 生成 。 优 点 : 由 于 要 求 每 个 节点 必须 存储 所 有 其 他 节点 的 共享 密 
钥 ， 因 而 任意 两 个 节点 间 总 可 以 建立 共同 的 密 钥 。 任 何 两 个 节点 间 的 密 钥 对 是 独 享 的 ， 其 
他 节点 不 知道 其 密 钥 信息 ， 任 何 一 个 节点 被 捕获 ， 不 会 泄露 非 直接 连接 的 节点 的 密 钥 信 息 ， 
模型 简单 ， 实 现 容易 。 缺 点 : 扩展 性 不 好 ， 新 节点 的 加 入 需要 更 新 整个 网 络 中 所 有 节点 存 
储 的 密 钥 信 息 ， 一 旦 节点 被 捕获 ， 攻 击 者 可 以 从 节点 存储 的 密 钥 信 息 获 得 该 节点 与 网 络 所 
有 节点 的 密 钥 信息 ， 由 于 节点 需要 存储 所 有 其 他 节点 的 密 钥 信 息 ， 所 以 网 络 规模 有 限 。 

(2) 节点 与 基站 共享 主 密 钥 。 网 络 中 的 每 个 节点 与 基站 间 共 享 一 对 主 密 钥 ， 每 个 节点 
只 需要 很 少 的 密 钥 存储 空间 ， 基 站 需要 较 高 的 计算 和 资源 开销 。 优 点 : 对 节点 的 资源 和 计 
算 能 力 要 求 较 低 ， 计 算 复杂 度 低 : 密 钥 建立 的 成 功率 高 ， 只 要 能 与 基站 通信 的 节点 都 可 以 
进行 安全 通信 : 支持 节点 的 动态 更 新 。 缺 点 : 过 分 依赖 基站 的 能 力 ， 基 站 是 单一 失效 点 ， 
即 一 旦 基站 被 捕获 ， 整 个 网 络 即 陷入 瘫 问 ， 网 络 的 规模 取决 于 基站 的 通信 能 力 ， 基 站 会 成 
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为 整个 网 络 的 通信 瓶颈 ， 多 跳 通信 时 ， 节 点 只 负责 透明 地 转发 数据 包 ， 没 有 办 法 对 信息 报 
进行 任何 认证 ， 亚 意 节点 容易 利用 这 一 特点 ， 进 行 DoS 攻击 。 
3. 随机 密 钥 分 配方 案 EG 


确定 性 密 钥 管理 方案 是 理解 随机 密 钥 分 配方 案 的 基础 。 为 进一步 减少 在 节点 上 存储 密 
钥 所 需要 的 空间 ， 提 出 了 随机 密 钥 预 分 配方 案 。 随 机 密 钥 预 分 配方 案 最 早 由 Eschenauer 和 
Gligor 提出 ， 因 此 该 方案 也 被 称 为 EG 方案 。 该 方案 的 基本 思想 是 首先 建立 一 个 比较 大 的 密 
钥 池 ， 任 何 节点 都 拥有 密 钥 池 中 的 一 部 分 密 钥 ， 那 么 任意 两 个 节点 间 能 够 以 一 定 的 概率 使 
得 双方 拥有 一 对 相同 的 密 钥 ， 从 而 建立 安全 通道 。 其 思路 可 简单 形象 地 比喻 为 : 每 个 节点 
各 自从 一 堆 (PooD) 密 钥 中 随机 取出 一 串 (Ring) 密 钥 ， 节 点 间 将 会 以 一 定 概率 共享 一 对 密 钥 。 
即使 没有 密 钥 ， 也 会 从 多 跳 间隔 的 发 送 端 和 接收 端 间 共 享 路 径 密 钥 。 

EG 方案 的 实施 分 为 以 下 几 个 阶段 : 密 钥 预 分 发 、 共 享 密 钥 的 发 现 、 路 径 密 钥 的 建立 和 
密 钥 撤销 机 制 ， 具 体 描述 如 下 。 

(1) 密 钥 预 分 发 。 在 一 个 比较 大 的 密 钥 空 间 内 ， 为 一 个 无 线 传感器 网 络 选择 一 个 密 钥 
池 ， 并 为 选中 的 密 钥 池 中 的 密 钥 附加 一 个 唯一 的 ID。 在 密 钥 预 分 发 时 ， 从 密 钥 池 中 任意 选 
择 m 个 密 钥 部 署 在 每 个 节点 中 。 这 m 个 密 钥 构成 一 个 节点 的 密 钥 环 ， 节 点 密 钥 环 的 大 小 ， 
根据 节点 存储 能 力 而 定 。 

(2) 共享 密 钥 的 发 现 。 节 点 密 钥 预 分 发 完成 之 后 ， 它 们 就 被 部 署 到 预期 的 位 置 ， 比 如 
医院 、 战 场 等 一 些 实际 的 应 用 场景 。 部 署 之 后 ， 每 一 个 节点 开始 利用 与 周围 节点 共享 的 密 
钥 ， 寻 找 自 己 的 邻居 节点 。 寻 找 邻 居 节 点 的 方式 有 很 多 种 ， 最 简单 的 就 是 : 节点 通过 广播 
自己 的 密 钥 ID， 寻 找 与 自己 有 共享 密 钥 的 邻居 节点 ， 如 果 某 个 节点 发 现 其 他 节点 与 自己 有 
共同 的 密 钥 ， 则 利用 该 共享 密 钥 与 其 建立 安全 通信 链 路 。 但 这 种 方法 增加 了 网 络 传输 开销 ， 
在 能 量 受 限 的 传感器 网 络 中 不 可 取 。 

(3) 路 径 密 钥 的 建立 。 在 随机 预 分 配 模型 下 ， 只 有 当 两 个 节点 存在 共享 密 钥 时 ， 才 可 
以 进行 通信 。 当 两 个 节点 间 不 存在 共享 密 钥 时 ， 可 通过 在 节点 间 建 立 一 个 路 径 密 钥 ， 从 而 
建立 安全 通信 链 路 。 例 如 ， 假 定 节点 U 希望 与 节点 V 通信 ， 但 是 两 个 节点 间 不 存在 共享 密 
钥 。U 首先 与 它 的 一 个 邻居 节点 乙 发 出 信息 ， 表 示 希 望 与 V 通信 。 如 果 节 点 Z 与 节点 V 存 
在 共享 密 钥 ， 则 节点 乙 生 成 一 个 共享 密 钥 Kuv 分 别 发 送 给 节点 U 和 V。 此 时 ， 节 点 乙 的 作 
用 可 以 视 为 是 一 个 中 介 ， 或 者 是 密 钥 分 发 中 心 。 经 过 共享 密 钥 的 发 现 和 路 径 密 钥 对 的 建立 ， 
网 络 中 的 节点 相互 之 间 可 以 安全 通信 。 同 时 ， 由 于 共享 密 钥 是 建立 在 各 自 拥有 的 密 钥 的 基 
础 之 上 的 ， 因 而 网 络 的 安全 性 得 到 保障 。 

(4) 密 钥 撤销 机 制 。 在 该 模型 下 ， 考 虑 节点 被 捕获 (妥协 ) 的 情况 。 由 于 每 个 节点 包含 有 
一 定数 量 的 密 钥 信 息 ， 因 而 网 络 的 安全 受到 一 定 的 威胁 。 为 了 应 对 节点 捕获 ， 网 络 中 的 其 
他 节点 必须 能 够 删除 与 被 捕获 节点 间 的 共享 密 钥 。 为 了 能 够 检测 被 捕获 的 节点 ，EG 方案 中 
设 定 了 控制 节点 ， 该 节点 的 功能 类 似 于 一 些 方案 中 的 基站 。 它 具有 很 高 的 安全 性 和 可 信赖 
性 ， 能 够 检测 出 被 捕获 的 节点 。 同 时 ， 该 方案 还 假设 在 节点 部 署 前 ， 控 制 节点 与 网 络 中 的 
所 有 节点 具有 共享 密 钥 。 
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4.3.8 ”无 线 传感器 网 络 安全 协议 SPINS 


无 线 传感器 网 络 安全 协议 SPINS 是 无 线 传 感 器 网 络 安全 框架 之 一 ， 它 有 两 个 模块 : 
SNEP(Security Network Encryption Protocol) 和 MTELSA。SNEP 提供 的 安全 保障 是 数据 机 密 
性 、 数 据 鉴 别 和 数据 新 鲜 度 保证 。 不 同 于 其 他 网 络 ， 无 线 传感器 网 络 往往 通过 广播 方式 工 
作 ， 因 此 低能 耗 的 广播 鉴 权 (认证 ) 协 议 是 一 个 十 分 重要 的 研究 问题 。phTELSA 提供 了 在 资源 
受 限 情况 下 的 广播 认证 。 

1. 轻 量 级 安全 协议 SNEP 


SNEP 是 一 种 低 开 销 安全 协议 ， 保 证 了 数据 机 密 性 、 数 据 鉴别 (完整 性 保护 )、 数 据 新 鲜 
度 等 。SNEP 本 身 只 描述 协议 的 过 程 ， 没 有 规定 实际 采取 的 具体 算法 ， 有 具体 实现 时 可 以 根据 
实际 情况 选用 不 同 的 算法 。 

SNEP 中 ， 每 个 节点 都 和 基站 之 间 共 享 一 对 主 密 钥 Kmaser， 其 他 密 钥 通过 使 用 主 密 钥 来 
生成 。SNEP 的 优点 是 : 具有 较 低 的 通信 开销 , 每 条 消息 仅仅 增加 8 个 字 节 ; 使 用 了 计数 器 
避免 了 计数 器 值 的 传递 : 加 密 机 制 具 有 较 高 的 安全 性 (如 语义 安全 )， 能 够 阻止 窃听 者 从 被 加 
密 的 信息 中 推导 出 信息 的 内 容 。 最 后 ， 该 协议 也 提供 了 数据 认证 、 重 放 保 护 以 及 消息 新 鲜 
度 的 功能 。 

(1) SNEP 中 的 数据 机 密 性 。 在 使 用 CTR(Counter) 模 式 时 ， 通 信 双 方 共享 一 个 计数 器 ， 
计数 器 的 值 作为 每 次 通信 加 密 的 初始 化 向 量 ， 由 于 每 次 通信 时 的 计数 器 的 值 都 不 同 ， 于 是 
即使 是 相同 的 明文 被 加 密 也 会 导致 不 同 的 密 文 。 通 信 双 方 共享 计数 器 ， 在 每 个 分 组 之 后 增 
加 ， 于 是 避免 了 因 传递 计数 器 值 而 导致 的 能 量 消耗 。 

(2) SNEP 中 的 数据 完整 性 。 通 过 消息 鉴别 码 (MAC) 完 成 ， 有: MAC ={C | E}Kmae。 其 
中 ，C 是 计数 器 值 ，E 是 密 文 ，Kimac 是 数据 完整 密 钥 。 这 是 一 种 密 文 鉴别 的 方法 ， 即 直接 验 
证 密 文 的 完整 性 ， 避 免 了 不 必要 的 解密 运算 。K 和 Kwac 都 是 从 主 密 钥 生 成 的 ， 生 成 的 方式 
可 以 依据 实际 情况 选 定 ， 只 要 在 通信 双方 均 实现 了 该 生成 算法 即 可 。 

(3) SNEP 中 消息 的 新 鲜 性 。 消 息 的 新 鲜 性 可 防御 重 放 攻击 ，SNEP 采用 的 强 新 鲜 性 认 
证 使 用 了 Nonce 机 制 ，Nonce 是 一 个 使 用 一 次 的 且 无 法 预测 的 随机 值 ， 通 常 由 伪 随 机 数 生 
成 器 产生 。 在 节点 A 发 送 给 节点 B 的 消息 中 ,包含 了 Nonce 值 NA, 在 B 对 该 消息 的 应 答 
中 ， 需 要 包含 该 值 。 

(4) 节点 间 的 安全 通信 。SPINS 中 每 个 节点 与 基站 (或 者 是 Sink 节点 、 网 关 等 ) 之 间 共 
享 一 个 主 密 钥 ， 对 于 节点 上 传 数据 到 基站 的 应 用 ， 这 一 方式 是 可 行 的 ， 但 在 有 些 应 用 中 ， 
节点 间或 者 簇 内 也 需要 通信 ， 如 果 都 经 过 基站 转发 则 效率 较 低 。 一 个 可 行 的 办 法 就 是 通过 
基站 建立 节点 间 的 临时 通信 密 钥 ， 这 里 基站 起 了 对 称 密 钥 分 配 中 心 (KDC) 的 作用 。 

2. 广播 认证 协议 ATELSA 


无 线 传感器 网 络 中 ， 基 站 通常 采用 广播 方式 查询 节点 ， 节 点 收 到 广播 包 后 ， 需 要 对 广 
播 包 的 来 源 进行 认证 ， 通 过 认证 再 进行 回复 。 若 采取 对 称 密 钥 ， 广 播 认 证 和 单 播 认 证 的 区 
别 在 于 : 单 播 包 的 认证 依赖 于 收 、 发 节点 间 共 享 的 一 个 密 钥 ， 而 广播 包 认 证 需要 全 网 络 共 
享 一 个 公共 密 钥 。 这 导致 广播 认证 安全 性 较 差 ， 即 任何 一 个 节点 被 俘获 ， 都 将 会 泄露 整个 
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网 络 的 广播 认证 密 钥 。 如 果 采 取 密 钥 更 新 的 方法 来 更 新 广播 认证 密 钥 ， 需 要 增加 通信 开销 。 
传统 的 广播 认证 往往 依赖 于 非 对 称 密 钥 ， 即 使 用 发 送 者 数字 签名 ， 接 收 者 用 公 钥 进行 验证 。 
但 是 这 种 方式 对 于 传感器 网 络 而 言 开 销 太 大 ， 签 署 签名 和 验证 签名 的 计算 量 较 大 ， 签 名 的 
传递 也 会 导致 额外 的 通信 和 负担。 针对 传感器 网 络 的 广播 认证 问题 ，Adrian Perrig 等 人 设计 了 
HTELSA 协议 。 该 协议 使 用 对 称 密 钥 机 制 实现 了 一 个 轻 量 级 的 广播 认证 。 

HTELSA 要 求 基站 和 节点 间 保持 松散 的 时 间 同 步 ， 每 个 节点 都 知道 最 大 同步 误差 的 上 
限 。 为 了 发 送 广播 认证 包 ， 基 站 计算 该 包 的 MAC， 使 用 的 是 该 时 间 段 的 密 钥 。 当 一 个 节点 
收 到 该 广播 认证 包 时 ， 通 常 认为 验证 该 包 MAC 的 密 钥 还 没有 被 基站 透露 。 既 然 只 有 基站 拥 
有 该 密 铀 ， 所 以 可 认为 该 包 是 没有 被 攻击 者 改变 的 。 节 点 存储 该 数据 包 在 缓存 中 ， 等 待 基 
站 透露 验证 MAC 的 密 钥 。 基 站 于 是 广播 验证 MAC 的 认证 密 钥 给 所 有 的 接收 者 ， 节 点 接收 
到 该 密 钥 后 ， 便 可 以 验证 缓存 中 的 那个 广播 包 的 MAC 的 正确 性 。 

MAC 密 钥 都 是 密 钥 链 中 的 一 个 密 铀 ， 密 钥 链 是 通过 一 个 单 向 函数 了 产生 的 。 基 站 要 事 
先生 成 这 样 一 个 密 钥 链 ， 方 法 是 :使 用 单 向 函数 下 计算 K=F(K+1)。 密 钥 链 中 的 每 个 密 钥 都 
对 应 一 个 时 间 段 ， 所 有 在 同一 时 间 间 隔 的 广播 包 都 使 用 同一 个 密 钥 进行 认证 。 在 两 个 时 间 
间隔 后 ， 相 应 的 密 钥 才 透露 。 密 钥 透露 是 一 个 独立 的 广播 数据 包 。 





4.4 物 联网 终端 系统 安全 


物 联网 感知 层 存 在 大 量 的 终端 设备 , 包括 前 面 介绍 的 RFID 标签 、 读 写 器 等 , 以 及 WSN 
的 传感器 节点 。 尤 其 值得 注意 的 是 ， 智 能 手机 可 以 说 是 一 种 随身 携带 的 “超级 ”感知 和 识 
别 设备 。 智 能 手机 上 可 以 配备 的 传感器 种 类 繁多 ， 如 加 速度 传感器 、 陀 螺 仪 传感器 、 温 度 
传感器 、 地 磁 传感器 、 方 向 传感器 、 压 力 传感器 、 距 离 传感器 、 光 线 亮 度 传感器 等 。 手 机 
具备 GPS 定位 功能 ， 可 提供 基于 位 置 的 服务 。 手 机 上 的 摄 ( 照 ) 像 功能 也 是 感知 声音 、 图 像 、 
影像 能 力 的 体现 。 语 音 识 别 和 手写 字体 识别 ， 表 现 为 一 种 识别 能 力 。 如 果 RFID 标签 附着 在 
手机 内 部 , 手机 便 具 有 标识 手机 使 用 者 的 功能 , 于 是 产生 了 手机 门票 。 手 机 触摸 屏 装 有 RFID 
读 写 器 ， 于 是 手机 具有 标签 读 取 功 能 (例如 苹果 公司 已 经 申请 了 该 专利 ， 用 于 下 一 代 iPhone 
产品 )， 可 用 于 读 取 标 签 识别 物体 。 

广义 而 言 ， 物 联网 终端 通常 可 分 为 两 种 : 一 种 是 感知 识别 型 终端 ， 以 二 维 码 、RFID、 
传感器 为 主 ， 实 现 对 “ 物 ” 的 识别 或 环境 状态 的 感知 ; 另 一 种 就 是 应 用 型 终端 ， 包 括 输入 / 
输出 控制 终端 ， 如 计算 机 、 平 板 电脑 、 智 能 手机 等 终端 。 感 知识 别 型 终端 的 系统 安全 问题 
中 ， 以 嵌入 式 系统 的 安全 问题 为 代表 ; 应 用 型 终端 的 系统 安全 问题 中 ， 以 智能 手机 的 安全 
问题 为 重 中 之 重 。 因 此 ， 本 节 重 点 介绍 嵌入 式 系统 安全 和 智能 手机 系统 安全 。 


4.4.1 峰 入 式 系 统 安全 

一 套 完整 的 风 入 式 系统 由 相关 的 硬件 及 其 配套 的 软件 构成 。 硬 件 部 分 又 可 以 划分 为 电 
路 系统 和 芯片 两 个 层次 。 在 应 用 环境 中 ， 恶 意 攻 击 者 可 能 从 一 个 或 多 个 设计 层次 对 嵌入 式 
系统 展开 攻击 ， 从 而 达到 窃取 密码 、 算 改 信息 、 破 坏 系统 等 非法 目的 。 若 嵌入 式 系统 应 用 
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在 诸如 金融 支付 、 付 费 娱 乐 、 军 事 通信 等 高 安全 敏感 领域 ， 这 些 攻 击 可 能 会 为 嵌入 式 系统 
的 安全 带 来 巨大 威胁 ， 给 用 户 造成 重大 的 损失 。 根 据 攻 击 层次 的 不 同 ， 这 些 针对 舱 入 式 系 
统 的 恶意 攻击 可 以 划分 为 软件 攻击 、 电 路 系统 级 的 硬件 攻击 以 及 基于 芯片 的 物理 攻击 3 种 
类 型 ， 如 图 4-14 所 示 。 











硬件 木马 、 边 频 攻击 
低 


图 4-14 灸 入 式 系统 
1. 嵌入 式 系统 安全 需求 分 析 


在 各 个 攻击 层次 上 均 存 在 一 批 非常 典型 的 攻击 手段 ， 这 些 攻 击 手段 针对 嵌入 式 系统 不 
同 的 设计 层次 展开 攻击 ， 威 胁 典 入 式 系统 的 安全 。 下 面 将 对 嵌入 式 系统 不 同 层次 上 的 攻击 
分 别 予 以 介绍 。 

(1) 软件 层次 的 安全 性 分 析 。 在 软件 层次 ， 嵌 入 式 系统 运行 着 各 种 应 用 程序 和 驱动 程 
序 。 在 这 个 层次 上 ， 嵌 入 式 系统 所 面临 的 恶意 攻击 主要 有 木马 、 蠕 虫 和 病毒 等 。 从 表现 特 
征 上 看 ， 这 些 不 同 的 恶意 软件 攻击 都 具有 各 自 不 同 的 攻击 方式 。 病 毒 是 通过 自我 传播 以 破 
坏 系统 的 正常 工作 为 目的 ， 蠕 虫 是 以 网 络 传播 、 消 耗 系统 资源 为 特征 ;木马 则 需要 通过 窃 
取 系 统 权限 从 而 控制 处 理 器 。 从 传播 方式 上 看 ， 这 些 恶 意 软件 都 是 利用 通信 网 络 予 以 扩散 。 
在 嵌入 式 系统 中 ， 最 为 普遍 的 恶意 软件 就 是 针对 智能 手机 所 开发 的 病毒 、 木 马 。 这 些 恶意 
软件 体积 小 巧 , 可 以 通过 SMS(Short Messaging Service) 短 信 、 软 件 下 载 等 隐秘 方式 侵入 智能 
手机 系统 ， 然 后 等 待 合适 的 时 机 发 动 攻击 。 尽 管 在 嵌入 式 系统 中 恶意 软件 的 代码 规模 都 很 
小 ， 但 是 其 破坏 力 是 巨大 的 。2005 年 ， 在 芬兰 赫尔辛基 世界 田径 锦标 赛 上 大 规模 爆发 的 手 
机 病毒 Cabir 便 是 恶意 软件 攻击 的 代表 。 截至 目前 , 全 球 仅 针对 智能 手机 的 病毒 就 出 现 上 万 
种 ， 并 且 数量 还 在 迅猛 增加 。 亚 意 程 序 经 常会 利用 程序 或 操作 系统 中 的 漏洞 获取 权限 ， 展 
开 攻击 。 最 常见 的 例子 就 是 由 缓冲 区 溢出 所 引起 的 恶意 软件 攻击 。 攻 击 者 利用 系统 中 正常 
程序 所 存在 的 漏洞 ， 对 系统 进行 攻击 。 

(2) 系统 层次 的 安全 性 分 析 。 在 嵌入 式 设备 的 系统 层次 中 ， 设 计 者 需要 将 各 种 电容 、 
电阻 以 及 芯片 等 不 同 的 器 件 焊接 在 印刷 电路 板 上 组 成 嵌入 式 系统 的 基本 硬件 ， 而 后 将 相应 
的 程序 代码 写 入 电路 板 上 的 非 易 失 性 存储 器 中 ， 使 嵌入 式 系统 具备 运行 能 力 ， 从 而 构成 整 
个 系统 。 为 了 能 够 破解 嵌入 式 系统 ， 攻 击 者 在 电路 系统 层次 上 设计 了 多 种 攻击 方式 。 这 些 
攻击 都 是 通过 在 嵌入 式 系统 的 电路 板 上 施加 少量 的 硬件 改动 ， 并 配合 适当 的 底层 汇编 代码 ， 
来 达到 欺骗 处 理 器 、 窃 取 机 密 信 息 的 目的 。 在 这 类 攻击 中 ， 具 有 代表 性 的 攻击 方式 主要 有 
总 线 监 听 、 总 线 算 改 以 及 存储 器 非法 复制 等 。 

(3) 芯片 层次 的 安全 性 分 析 。 媒 入 式 系统 的 芯片 是 硬件 实现 中 最 低 的 层次 ， 然 而 在 这 
个 层次 上 依然 存在 着 面向 芯片 的 硬件 攻击 。 这 些 攻 击 主要 期 望 能 从 芯片 器 件 的 角度 寻找 嵌 
入 式 系统 的 安全 漏洞 ， 实 现 破解 。 根 据 实 现 方式 的 不 同 ， 蕊 片 级 的 攻击 方式 可 以 分 为 侵入 
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式 和 非 侵入 式 两 种 。 其 中 ， 侵 入 式 攻击 方式 需要 将 芯片 的 封装 予以 去 除 ， 然 后 利用 探 针 等 
工具 直接 对 芯片 的 电路 进行 攻击 。 侵 入 式 攻击 方式 中 ， 以 硬件 木马 攻击 最 具 代 表 性 。 而 非 
侵入 式 的 攻击 方式 主要 是 指 在 保留 芯片 封装 的 前 提 下 ， 利 用 芯片 在 运行 过 程 中 泄露 出 来 的 
物理 信息 进行 攻击 的 方式 也 被 称 为 边 频 攻 击 。 硬 件 木马 攻击 是 一 种 新 型 的 芯片 级 硬件 攻击 。 
这 种 攻击 方式 通过 逆向 工程 分 析 芯 片 的 裸 片 电路 结构 ， 然 后 在 集成 电路 的 制造 过 程 中 ， 向 
芯片 硬件 电路 中 注入 带 有 特定 恶意 目的 的 硬件 电路 ， 即 “硬件 木马 ”， 从 而 达到 在 芯片 运 
行 的 过 程 中 对 系统 的 运行 予以 控制 的 目的 。 硬 件 木马 攻击 包括 木马 注入 、 监 听 触 发 以 及 木 
马 发 作 3 个 步骤 。 首先， 攻击 者 需要 分 析 芯 片 的 内 部 电路 结构 ， 在 芯片 还 在 芯片 代 工 厂 制 
造 时 将 硬件 木马 电路 注入 正常 的 功能 电路 中 ， 待 芯片 投入 使 用 后 ， 硬 件 木马 电路 监听 功能 
电路 中 的 特定 信号 ， 当 特定 信号 达到 某 些 条 件 后 ， 硬 件 木马 电路 被 触发 ， 木 马 电路 完成 攻 
击 者 所 期 望 的 恶意 功能 。 经 过 这 些 攻击 步骤 ， 硬 件 木马 甚至 可 以 轻易 地 注入 加 密 模块 中 ， 
干扰 其 计算 过 程 ， 从 而 降低 加 密 的 安全 强度 。 在 整个 攻击 过 程 中 ,硬件 木马 电路 的 设计 与 
注入 是 攻击 能 否 成 功 的 关键 。 攻 击 者 需要 根据 实际 电路 设计 ， 将 硬件 木马 电路 寄生 在 某 一 
正常 的 功能 电路 之 中 ， 使 其 成 为 该 功能 电路 的 劳 路 分 支 。 


2. 赃 入 式 系统 的 安全 架构 


物 联网 的 感知 识别 型 终端 系统 通常 是 嵌入 式 系统 。 所 谓 嵌 入 式 系统 ， 是 以 应 用 为 中 心 ， 
以 计算 机 技术 为 基础 ， 并 且 软 /硬件 是 可 定制 的 ， 适 用 于 对 功能 、 可 靠 性 、 成 本 、 体 积 、 功 
耗 等 有 严格 要 求 的 专用 计算 机 系统 。 嵌 入 式 系统 的 发 展 经 历 了 无 操作 系统 、 简 单 操作 系统 、 
实时 操作 系统 和 面向 Intemet 四 个 阶段 。 

下 面 结合 嵌入 式 系统 的 结构 ， 从 硬件 平台 、 操 作 系 统 和 应 用 软件 3 个 方面 对 嵌入 式 系 
统 的 安全 性 加 以 分 析 。 

1) “硬件 平台 的 安全 性 

为 适应 不 同 应 用 功能 的 需要 ， 翌 入 式 系 统 采取 多 种 多 样 的 体系 结构 ， 攻 击 者 可 能 采取 
的 攻击 手段 也 呈现 多 样 化 的 特点 。 区 别 于 PC 系统 , 嵌入 式 信息 系 统 可 能 遭 到 的 攻击 存在 于 
系统 体系 结构 的 各 个 部 分 。 

(1) 对 可 能 发 射 各 类 电磁 信号 的 嵌入 式 系统 ， 利 用 其 传导 或 辐射 的 电磁 波 ， 攻 击 者 可 
能 使 用 灵敏 的 测试 设备 进行 探测 、 窃 听 甚 至 拆卸 ， 以 便 提取 数据 ， 导 致电 磁 泄漏 攻击 或 者 
侧 信道 攻击 。 而 对 于 风 入 式 存储 元 件 或 移动 存储 卡 ， 存 储 部 件 内 的 数据 也 容易 被 窃取 。 

(2) 针对 各 类 嵌入 式 信息 传感器 、 探 测 器 等 低 功 耗 敏感 设备 ， 攻 击 者 可 能 引入 极端 温 
度 、 电 压 偏 移 和 时 钟 变化 ， 从 而 强迫 系统 在 设计 参数 范围 之 外 工作 ， 表 现 出 异常 性 能 。 特 
殊 情 况 下 ， 强 电磁 干扰 或 电磁 攻击 则 可 能 将 毫 无 物理 保护 的 小 型 嵌入 式 系统 彻底 摧毁 。 

2) ”操作 系统 的 安全 性 

与 PC 不 同 的 是 ,嵌入 式 产 品 采 用 数 十 种 体系 结构 和 操作 系统 ,著名 的 戏 入 式 操作 系统 
包括 Windows CE、VxWorks、pSoS、QNX、PalmOS、0S-9、LynxoS、Linux 等 ， 这 些 系 
统 的 安全 等 级 各 不 相同 ， 但 各 类 嵌入 式 操 作 系统 普遍 存在 由 于 运行 的 硬件 平台 计算 能 力 和 
存储 空间 有 限 ， 精 简 代码 而 牺牲 其 安全 性 的 情况 。 嵌 入 式 操 作 系统 普遍 存在 的 安全 隐患 
如 下 。 

(1) 由 于 系统 代码 的 精简 ， 对 系统 的 进程 控制 能 力 并 没有 达到 一 定 的 安全 级 别 。 
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(2) 由 于 嵌入 式 处 理 器 的 计算 能 力 受 限 ， 缺 少 系统 的 身份 认证 机 制 ， 攻 击 者 可 能 很 容 
易 破解 嵌入 式 操作 系统 的 登录 口令 。 

(3) 大 多 数 嵌入 式 操作 系统 文件 和 用 户 文件 缺乏 必要 的 完整 性 保护 控制 。 

(4) 嵌入 式 操作 系统 缺乏 数据 的 备份 和 可 信 恢 复 机 制 ， 系 统一 旦 发 生 故 障 ， 便 无 法 
恢复 。 

(5) 各 种 嵌入 式 信息 终端 病毒 正在 不 断 出 现 ， 并 大 多 通过 无 线 网 络 注入 终端 。 

3) ”应 用 软件 的 安全 性 

应 用 软件 的 安全 问题 包括 3 个 层面 : 应 用 软件 应 用 层面 的 安全 问题 ， 如 病毒 、 恶 意 代 
码 攻击 等 ; 应 用 软件 中 间 件 的 安全 问题 ; 应 用 软件 系统 层面 (如 网 络 协议 栈 ) 的 安全 问题 ， 如 
数据 窃听 、 源 地 址 欺骗 、 源 路 由 选择 欺骗 、 鉴 别 攻 击 、TCP 序列 号 欺骗 、 拒 绝 服务 攻击 等 。 

4) “嵌入 式 系统 安全 的 对 策 

通常 ， 嵌 入 式 系统 安全 的 对 策 可 根据 安全 对 策 所 在 位 置 分 为 4 层 。 

(1) 安全 电路 层 。 通 过 对 传统 的 电路 加 入 安全 措施 或 改进 设计 ， 实 现 对 涉及 敏感 信息 
的 电子 器 件 的 保护 。 一 些 可 以 在 该 层 采 用 的 措施 主要 有 : 通过 降低 电磁 辐射 ， 加 入 随机 信 
息 等 来 降低 非 入 侵 攻击 所 能 测量 到 的 敏感 数据 特征 ， 加 入 开关 、 电 路 等 对 攻击 进行 检测 ， 
例如 ， 用 开关 检测 电路 物理 封装 是 否 被 打开 等 。 在 关键 应 用 如 工业 控制 中 ， 还 可 使 用 容错 
硬件 设计 和 可 靠 性 电路 设计 。 

(2) 硬件 安全 架构 层 。 该 方法 借鉴 了 可 信 平 台 模块 (Trusted Platform Module, TPM) 的 思 
路 。 可 采取 的 措施 包括 : 加 入 部 分 硬件 处 理 机 制 ， 支 持 加 密 算法 甚至 安全 协议 ， 使 用 分 离 
的 安全 协 处 理 器 模块 ， 用 来 处 理 所 有 的 敏感 信息 ， 使 用 分 离 的 存储 子 系统 (RAM、ROM、 
FLASH 等 ) 作 为 安全 存储 区 域 , 这 种 隔离 可 以 限制 只 有 可 靠 的 系统 部 件 才 可 以 对 安全 存储 区 
域 进行 存 取 。 如 果 上 述 功能 不 能 实现 ， 可 以 利用 存储 保护 机 制 ( 即 通过 总 线 监控 硬件 来 区 分 
对 安全 存储 区 域 的 存 取 是 否 合 法 ) 来 实现 ， 对 经 过 总 线 的 数据 在 进入 总 线 前 进行 加 密 以 防止 
总 线 窃 听 等 。 实 际 的 例子 包括 ARM 公司 的 Trustzone 和 Intel 的 LaGrande 等 。 

(3) 软件 安全 架构 层 。 该 层 主要 通过 增强 操作 系统 或 虚拟 机 (如 Java 虚拟 机 ) 的 安全 性 
来 增强 系统 安全 。 例 如 ， 微 软 的 NGSCB(Next-Generation Secure Computing Base， 下 一 代 安 
全 计算 基础 )， 通 过 与 相应 硬件 (如 Intel LaGrande) 协 同 工 作 提供 如 下 增强 机 制 : 进程 分 离 
(Process Isolatiom)， 用 来 隔离 应 用 程序 ， 免 受 外 来 攻击 ; 封闭 存储 (Sealed Storage)， 让 应 用 
程序 安全 地 存储 信息 ; 安全 路 径 (Secure Path)， 提 供 从 用 户 输入 到 设备 输出 的 安全 通道 ; 证 
书 (Attestation)， 用 来 认证 软 /硬件 的 可 信 性 。 其 他 方法 还 有 通过 加 强 Java 虚拟 机 的 安全 性 ， 
对 非 可 靠 的 代码 使 其 在 受 限 制 和 监控 的 环境 中 运行 (如 沙 盒 Sand Box) 等 。 另外 ,该 层 还 对 应 
用 层 的 安全 处 理 提供 必要 的 支持 。 例 如 ， 在 操作 系统 之 内 或 之 上 ， 充 分 利用 硬件 安全 架构 
的 硬件 处 理 能 力 优化 和 实现 加 密 算法 ， 并 向 上 层 提供 统一 的 应 用 编程 接口 等 。 

(4) 安全 应 用 层 。 通 过 利用 下 层 提供 的 安全 机 制 ， 实 现 涉 及 敏感 信息 的 安全 应 用 程序 ， 
保障 用 户 数 据 安全 。 这 种 应 用 程序 可 以 是 包含 诸如 提供 SSL 安全 通信 协议 的 复杂 应 用 ， 也 
可 以 是 仅仅 简单 查看 敏感 信息 的 小 程序 ， 必 须 符合 软件 安全 架构 层 的 结构 和 设计 要 求 。 
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4.4.2 智能 手机 系统 安全 


到 2017 年 ， 全 球 PC 保有 量 达到 18.4 亿 部 ， 而 智能 手机 和 具备 浏览 器 的 传统 手机 的 保 
有 量 达 到 19.6 亿 部 。 智 能 手机 超越 PC 而 成 为 人 们 的 主要 上 网 工具 。 因 此 ， 移 动 互联 网 尤 
其 是 智能 终端 安全 将 是 一 个 重要 的 安全 课题 。 

智能 手机 系统 安全 主要 涉及 手机 操作 系统 安全 及 手机 病毒 的 防治 。 操 作 系 统 作为 智能 
手机 软件 的 平台 ， 管 理智 能 手机 的 软 硬 件 资源 ， 为 应 用 软件 提供 各 种 必要 的 服务 ， 且 市 场 
上 操作 系统 层出不穷 ， 每 一 种 智能 手机 的 操作 系统 都 有 各 自 的 优 缺点 ， 智 能 手机 操作 系统 
的 比较 将 必 不 可 少 。 同 样 ， 智 能 手机 系统 也 存在 安全 漏洞 ， 如 何 避 免 这 些 安 全 漏洞 已 成 为 
当前 研究 、 开 发 智能 手机 的 一 个 热点 。 


1 . 智能 手机 的 特点 


(1) 智能 手机 具有 无 限 接 入 互联 网 的 能 力 ， 即 需要 支持 GSM 网 络 下 的 GPRS 或 者 
CDMA 网 络 下 的 CDMA I 芭 或 3G(WCDMA、CDMA-EVDO、TD-SCDMA) 网 络 ， 甚 至 SG。 
接 入 互联 网 后 ， 智 能 机 可 以 在 网 上 下 载 并 安装 第 三 方 软件 ， 丰 富 智 能 机 的 功能 。 此 时 智能 
机 便 相当 于 一 个 移动 的 微型 计算 机 ， 具 备 计算 机 的 一 些 基本 功能 ， 为 生活 带 来 诸多 方便 。 

(2) 具有 PDA 的 功能 ， 包 括 PIM( 个 人 信息 管理 )、 日 程 记事 、 任 务 安排 、 多 媒体 应 用 、 
浏览 网 页 。 个 人 信息 管理 、 日 程 记事 、 任 务 安排 ,一 般 的 手机 也 具有 这 些 功 能 ， 而 多 媒体 
应 用 、 浏 览 网 页 则 是 智能 机 所 独 有 的 。 例 如 ， 可 以 在 智能 手机 上 安装 一 个 第 三 方 软件 ， 如 
UC 浏览 器 (Symbian 系统 支持 ), 其 浏览 网 页 的 方式 和 电脑 相似 , 也 具有 下 的 一 些 基本 功能 。 

(3) 智能 手机 具有 开放 性 的 操作 系统 (各 大 操作 系统 各 有 优 缺 点 ， 互 相 补 充 ， 而 且 系统 
更 新 速度 很 快 )， 可 以 安装 更 多 的 应 用 程序 ， 使 智能 手机 的 功能 可 以 得 到 无 限 扩展 。 目 前 智 
能 手机 采用 的 操作 系统 主要 有 : 微软 推出 的 Windows CE 操作 系统 (OS)、 以 Nokia 为 主要 发 
起 厂商 的 Symbian 操作 系统 、Palm 操作 系统 、Linux 操作 系统 、Google Android 手机 平台 以 
及 苹果 的 iOS 操作 系统 等 。 目 前 ， 在 智能 手机 操作 系统 领域 中 还 没有 出 现 一 个 像 微 软 操作 
系统 那样 能 在 智能 手机 中 占据 垄断 地 位 的 操作 系统 。 因 此 ， 在 智能 手机 操作 系统 领域 形成 
了 一 种 良性 的 竞争 ， 促 进 操作 系统 的 不 断 升级 和 发 展 。 

(4) 人 性 化 ， 可 以 根据 个 人 需要 扩展 机 器 功能 。 智 能 手机 中 内 置 操作 系统 ， 而 操作 系 
统 支持 第 三 方 软件 的 下 载 、 安 装 ， 下 载 快捷 、 安 装 方便 、 应 用 广泛 。 智 能 手机 支持 一 些 常 
用 的 手机 软件 ， 如 QQ、 音 乐 、 浏 览 器 、 搜 狗 输 入 等 ， 为 我 们 的 生活 增添 了 不 少 的 色彩 。 


2. 智能 手机 的 安全 性 威胁 


(1) 智能 手机 操作 系统 的 安全 问题 主要 集中 于 在 接 入 语音 及 数据 网 络 后 所 面临 的 安全 
威胁 。 例 如 系统 是 否 存在 能 够 引起 安全 问题 的 漏洞 ， 信 息 存储 和 传送 的 安全 性 是 否 有 保障 ， 
是 否 会 受到 病毒 等 恶意 软件 的 威胁 等 。 由 于 目前 手机 用 户 比 计算 机 用 户 还 多 ， 而 且 智 能 手 
机 可 以 提供 多 种 数据 连接 方式 ， 所 以 病毒 对 于 手机 系统 特别 是 智能 手机 操作 系统 是 一 个 非 
常 严峻 的 安全 威胁 。 

(2) Symbian 系统 本 身 存在 一 些 安全 漏洞 ， 所 以 目前 受 病毒 影响 最 深 。 已 经 发 现 的 针对 
Symbian 的 病毒 超过 了 50 种 。 这 些 病毒 通常 感染 Symbian 6.0 系统 ， 而 UIQ 平台 极 少 发 生 
感染 。 广 为 人 所 知 的 Cabir 病毒 是 通过 蓝牙 连接 对 Symbian 手机 进行 DoS 攻击 的 。 由 于 越 
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来 越 多 的 个 人 信息 (如 电话 德 、 商 业 机 密 文 档 等 ) 会 被 保存 在 智能 手机 中 ,为 了 防止 恶意 软件 
或 病毒 窃取 这 些 信 息 或 者 耗费 用 户 通信 费用 ，Symbian 9.0 及 以 后 的 版 本 引入 了 新 的 系统 安 
全 模型 。 

Symbian 9.0 以 前 的 系统 中 安装 的 某 个 软件 的 所 有 文件 都 会 存储 在 ksystem\appskxxx 目 
录 下 。Symbian 9.0 及 以 后 的 系统 中 ， 某 个 软件 中 的 不 同文 件 会 存放 在 不 同 的 目录 ， 如 可 执 
行文 件 (.exe， 以 前 是 .app) 被 放 在 ksys、bin 下 ， 资 源 文件 被 放 在 hresource 下 。 每 个 软件 的 
所 有 私有 数据 被 放 在 private 目录 下 ， 其 他 目录 是 供 所 有 软件 共享 的 目录 。 其 中 \sys\bin 和 
hresource 用 户 不 能 更 改 。 可 执行 文件 只 能 由 安装 程序 复制 进去 ， 只 能 由 软件 安全 号 所 对 应 
的 软件 访问 。 可 执行 文件 引入 了 能 力 模 型 ， 取 得 某 些 能 力 ， 如 访问 用 户 的 电话 夭 、 发 送 短 
和信、 修改 手机 设置 等 ， 需 要 让 可 执行 文件 获得 Symbian 公司 或 者 诺基亚 公司 的 数字 签名 。 
系统 还 具备 可 执行 文件 防 算 改 功能 ， 若 安装 经 过 修改 的 软件 包 ， 或 者 用 读 卡 器 修改 存储 卡 
的 ksyskbin 目录 ， 会 被 Symbian 系统 发 现 。 引 入 这 些 特性 ， 使 得 系统 的 安全 性 大 大 提高 。 
但 是 系统 安全 模型 的 引入 ， 也 导致 系统 出 现 了 兼容 性 问题 。 

总 体 来 说 ， 由 于 借鉴 了 个 人 电脑 领域 的 安全 经 验 ， 手 机 操作 系统 厂商 在 设计 系统 时 已 
经 对 安全 问题 进行 了 充分 的 考虑 。 这 些 厂 商 在 数据 加 密 、 通 信 协 议 以 及 访问 认证 方式 等 方 
面 已 经 做 出 了 很 多 安全 性 的 增强 ， 并 且 仍 在 积极 地 进行 改进 。 

随 着 终端 操作 系统 的 多 样 化 , 手机 病毒 将 呈现 多 样 性 的 趋势 。 随 着 基于 Android 操作 系 
统 的 智能 手机 快速 发 展 ， 基 于 此 种 操作 系统 的 手机 也 日 渐 成 为 黑客 攻击 的 目标 。 因 此 ， 下 
面 在 一 般 性 介绍 智能 手机 病毒 后 ， 会 分 别 介绍 Android 系统 和 OMS 系统 。 


3. 智能 手机 病毒 简介 


手机 病毒 会 利用 手机 操作 系统 的 漏洞 进行 传播 。 手 机 病毒 是 以 手机 为 感染 对 象 ， 以 通 
信 网 络 (如 移动 通信 网 络 、 蓝 牙 、 红 外 线 ) 为 传播 媒介 ， 通 过 发 送 短信 、 彩 信 、 电 子 邮 件 、 聊 
天 工具 、 浏 览 网 站 、 下 载 铃声 等 方式 进行 传播 。 手 机 病毒 的 主要 危害 有 : 导致 用 户 手机 里 
的 个 人 隐私 外 泄 ， 控 制 手 机 进行 强行 消费 ， 拨 打 付费 电话 ， 订 购 高 额 短信 服务 ， 导 致 通信 
费用 剧 增 ; 通过 手机 短信 的 方式 传播 非法 信息 ， 如 发 送 垃圾 邮件 、 垃 圾 短信 等 ;破坏 手机 
软件 或 者 硬件 系统 ， 如 损毁 SIM 卡 ， 造 成 手机 通信 瘫痪 ， 如 手机 死机 等 。 

同 计算 机 病毒 类 似 ， 手 机 病毒 具有 病毒 的 一 般 特性 。 

(1) 传播 性 。 手机 病毒 具有 把 自身 复制 到 其 他 设备 或 者 程序 的 能 力 ,可 以 自我 传播 , 也 
可 将 感染 的 文件 作为 传染 源 ， 并 借助 该 文件 的 交换 、 复 制 再 传播 ， 感 染 更 多 手机 。 

(2) 隐蔽 性 。 手 机 病毒 隐藏 在 正常 程序 中 ， 当 用 户 使 用 该 程序 时 ， 病 毒 乘机 窃取 系统 
的 控制 权 ， 然 后 执行 病毒 程序 ， 而 这 些 动作 是 在 用 户 没有 察觉 的 情况 下 完成 的 。 

(3) 潜伏 性 。 病 毒 感染 系统 后 不 立即 发 作 ， 可 能 在 满足 触发 条 件 时 才 开 始 发 作 。 

(4) 破坏 性 。 无 论 何 种 手机 病毒 ， 一 旦 侵入 手机 都 会 对 手机 软 /硬件 造成 不 同 程度 的 影 
响 ， 轻 则 降低 系统 性 能 ， 破 坏 、 丢 失 数据 和 文件 ， 导 致 系统 崩溃 ， 重 则 可 能 损坏 便 件 。 

手机 病毒 的 分 类 依据 包括 工作 原理 、 传 播 方式 、 危 害 对 象 和 软件 漏洞 出 现 的 位 置 。 

1) ”根据 工作 原理 ， 手 机 病毒 可 以 分 为 以 下 5 类 。 

(1) 引导 型 病毒 。 智 能 手机 具有 操作 系统 ， 引 导 型 病毒 是 一 种 在 系统 开机 自 检 (BIOS) 
完成 后 ， 进 行 操作 系统 引导 时 开始 工作 的 病毒 。 引 导 型 病毒 先 于 操作 系统 执行 。 病 毒 先 获 
得 控制 权 ， 将 真正 的 引导 区 内 容 转移 或 替换 ， 待 病毒 程序 执行 后 ， 再 将 控制 权 交 给 真正 的 
































【第 4 二 IEEESS 过 3 和 | 川 川 川 川 避 | 


引导 区 内 容 ， 带 病毒 的 系统 看 似 正常 运转 ， 其 实 病毒 已 隐藏 在 系统 中 。 

(2) 宏 病 毒 。 宏 病毒 是 一 种 寄存 在 文档 或 模板 (如 Word、PowerPoint 文件 等 ) 宏 中 的 病 
毒 。 宏 是 一 种 可 以 自动 执行 的 代码 ， 一 旦 打开 这 样 的 文档 ， 其 中 的 宏 会 执行 。 宏 病毒 是 由 
某 个 应 用 程序 自 带 的 宏 编 程 语言 (如 VB Scripb 编 写 的 ， 智 能 手机 可 以 安装 阅读 Word 和 
PowerPoint 文档 的 应 用 软件 ， 因 此 可 能 遭 到 这 种 病毒 的 攻击 。 

(3) 文件 型 病毒 。 文 件 型 病毒 是 主要 感染 可 执行 文件 (如 apk 文件 ) 的 病毒 ， 它 通常 隐藏 
在 宿主 (Hosb 程 序 中 ， 执 行 宿主 程序 时 ， 先 执行 病毒 程序 再 执行 宿主 程序 。 它 的 安装 必须 借 
助 病毒 的 装载 程序 ， 已 感染 病毒 的 文件 执行 速度 会 减 慢 。 

(4) 蠕虫 (Worm) 病 毒 。 蠕 虫 的 特征 是 在 手机 和 手机 之 间 自 动 地 自我 复制 ， 它 接管 了 手 
机 中 传输 文件 或 信息 的 功能 。 一 旦 手机 感染 蠕虫 病毒 ， 蠕 虫 即 可 独自 大 量 复制 和 传播 。 

(5) 木马 (Trojan Horse) 病 毒 。 这 类 病毒 是 在 正常 程序 中 植 入 恶意 代码 ， 当 用 户 启 动 程 
序 时 ， 该 恶意 代码 也 同时 运行 ， 并 做 一 些 破坏 性 动作 。 

2) “根据 传播 方式 ， 手 机 病毒 可 以 分 为 4 类 。 

(1) 通过 手机 外 部 通信 接口 进行 传播 ， 如 蓝牙 、 红 外 、WiFi 和 USB 等 。 

(2) 通过 互联 网 接 入 进行 传播 ， 如 网 站 浏览 、 电 子 邮 件 、 网 络 游戏 、 下 载 程序 、 聊 天 














(3) 通过 电信 增值 服务 (业务 ) 传 播 ， 如 SMS、MMS 等 。 

(4) 通过 手机 自 带 应 用 程序 进行 传播 ， 如 Word 文档 、 电 子 书 等 。 
3) ”根据 危害 对 象 ， 手 机 病毒 可 分 为 2 类 。 

(1) 危害 手机 终端 的 病毒 。 

(2) 危害 移动 通信 核心 网 络 的 病毒 。 

4) “根据 软件 漏洞 出 现 的 位 置 ， 手 机 病毒 可 分 为 4 类 。 

(1) 手机 操作 系统 漏洞 病毒 。 

(2) 手机 应 用 软件 漏洞 病毒 。 

(3) 交换 机 漏洞 病毒 。 

(4) 服务 器 漏洞 病毒 。 


4. 安全 手机 操作 系统 的 特征 


安全 的 手机 操作 系统 通常 具有 如 下 5 种 特征 。 

(1) 身份 验证 : 确保 所 有 访问 手机 的 用 户 身份 真实 可 信 。 可 以 采用 的 身份 认证 方式 有 
口令 认证 、 智 能 卡 认证 、 生 物 特征 识别 (如 指纹 识别 ) 及 实体 认证 机 制 等 。 

(2) 最 小 特权 : 每 个 用 户 在 通过 身份 验证 后 ， 只 拥有 恰好 能 完成 其 工作 的 权限 ， 即 将 
其 拥有 的 权限 最 小 化 。 

(3) 安全 审计 : 对 指定 操作 的 错误 尝试 次 数 及 相关 安全 事件 进行 记录 、 分 析 。 

(4) 安全 域 隔离 : 安全 域 隔离 分 为 物理 隔离 和 逻辑 隔离 。 物 理 隔离 是 指 对 移动 终端 中 
的 物理 存储 空间 进行 划分 ， 不 同 的 存储 空间 用 于 存储 不 同 的 数据 或 代码 ;而 逻辑 隔离 主要 
包括 进程 隔离 、 数 据 的 分 类 存储 。 

(5) 可 信 连 接 : 对 于 无 线 连接 (蓝牙 、 红 外 、WLAN 等 )， 默 认 属性 应 设 为 “隐藏 ”或 者 
“关闭 ”以 防 非法 连接 ， 在 实际 连接 时 ， 需 要 对 所 有 请 求 连接 进行 身份 认证 。 
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5. Android 系统 简介 


下 面 简要 介绍 Android 手机 操作 系统 .Android 是 Google 与 OHA(Open Handset Alliance， 
开放 手机 联盟 ) 合 作 开发 的 基于 Linux 2.6 平台 的 开源 智能 手机 操作 系统 平台 , 其 系统 架构 包 
括 4 层 结构 。 

(1) 应 用 层 (Applications)。Android 操作 系统 的 用 户 应 用 层 ， 直 接 面向 用 户 ， 完 成 显示 
以 及 与 用 户 交 互 的 功能 , 包括 一 系列 主要 的 应 用 程序 包 ,， 如 E-mail 客户 端 、SMS 短信 程序 、 
浏览 器 等 。 

(2) 应 用 框架 层 (Application Framework)。 该 层 专 门 为 应 用 程序 的 开发 而 设计 ， 提 供 允 
许 开 发 人 员 访 问 核心 应 用 程序 所 使 用 的 API 框架 。 它 由 一 系列 的 服务 和 系统 构成 ， 提 供 功 
能 管理 和 组 件 重 用 机 制 ， 包 含 电源 管理 、 窗 体 管理 、 资 源 管理 等 。 

(3) 支持 库 层 (Libraries)， 包 含 虚拟 机 (Runtime)。 这 一 层 主 要 与 进程 运行 相关 ，Dalvik 
虚拟 机 DVM 是 类 似 JVM 的 虚拟 机 ， 提 供 Java 语言 的 运行 环境 ， 每 一 个 Android 程序 都 有 
独立 的 Dalvik 虚拟 机 为 它 提供 运行 环境 。 核 心 库 (Core Libraries) 提 供 了 Java 编程 语言 核心 
库 的 大 多 数 功能 。Libraries 中 的 代码 主要 基于 C/C++, 为 上 层 的 应 用 程序 框架 提供 访问 硬件 
的 方式 ， 可 用 于 底层 的 应 用 程序 ， 其 中 比较 重要 的 是 对 SQLite 的 支持 、2D/3D 图 像 技术 的 
支持 以 及 多 媒体 解码 等 。 

(4) Linux 内 核 层 (Linux Kemel)。Android 的 内 核 为 Linux 2.6 内 核 ，Linux 内 核 为 
Android 手机 提供 了 一 系列 硬件 驱动 ， 它 主要 用 于 保障 安全 性 、 内 存 管 理 、 进 程 管理 、 网 络 
协议 栈 等 。 


6. OMS 平台 简介 


OMS(Open Mobile System) 是 中 国 移动 通信 集团 基于 Google Android 1.5 平台 设计 的 一 
种 更 适合 中 国 国 情 和 中 国人 习惯 的 智能 手机 操作 系统 ，OMS 系统 与 Android 系统 同样 采用 
Linux 内 核 ， 通 过 TD 通信 模块 以 Modem AP 的 方式 桥接 使 Android 平台 兼容 中 国 移动 
TD-SCDMA 网 络 ， 第 一 款 搭载 OMS 系统 的 手机 是 联想 01。 

OMS 是 一 个 开放 的 移动 互联 终端 软件 平台 ,包括 一 个 Linux 操作 系统 ， 一 个 Dalvik 虚 
拟 机 ， 一 个 Web 浏览 器 ， 以 及 中 间 件 和 一 些 关 键 应 用 。OMS 来 源 于 Android 平台 ， 除 了 包 
括 Android 的 组 成 部 分 外 ，OMS 集成 了 很 多 中 间 件 ， 以 及 中 国 移动 的 增值 服务 。 

OMS SDK 是 支持 两 类 应 用 程序 ( 即 OMS 应 用 程序 和 Widget 应 用 程序 ) 的 开发 工具 包 。 

(1) OMS 应 用 程序 是 基于 Java 的 应 用 程序 , 类 似 于 Android 应 用 程序 。 但 是 与 Android 
相 比 ，OMS 提供 许多 特有 的 OMS API， 可 以 使 用 OMS API 和 Android API 开发 OMS 应 用 
程序 。 任 何 使 用 Android API 创建 的 应 用 程序 都 可 以 正常 运行 在 OMS 手机 上 ， 然 而 使 用 了 
OMS 扩展 API 的 应 用 程序 不 能 在 Android 手机 上 运行 ， 这 些 API 需要 OMS 平台 的 高 级 特 
征 ， 可 以 在 Eclipse IDE 里 使 用 Android 开发 工具 (ADT) 创 建 OMS 应 用 程序 。ADT 插件 包 
括 多 种 强大 的 扩展 ， 使 得 创建 、 编 辑 、 运 行 和 调试 OMS 应 用 程序 更 快 、 更 方便 。 

(2) OMS 支持 的 第 二 类 应 用 程序 是 Widget 应 用 程序 (如 Xhtml、CSS、Java Script 等 )。 
Widget 应 用 程序 是 OMS 的 亮点 ， 因 为 Android 还 不 支持 Widget 应 用 程序 开发 。 在 OMS 
中 ，Widget 应 用 程序 遵循 JIL(Joint Innovation Lab)Widget 规范 。 若 使 用 Eclipse IDE 开发 
Widget 应 用 程序 ， 可 安装 一 个 定制 插件 WDT(Widget Development Tools)， 该 插件 集成 了 对 
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Widget 项 目的 支持 。WDT 插件 包括 多 个 功能 强大 的 扩展 ， 使 得 创建 、 编 辑 、 构 建 、 运 行 和 
调试 Widget 应 用 程序 更 加 快捷 方便 。 

OMS 作为 国内 企业 主导 开发 的 移动 终端 操作 系统 ， 虽 然 在 推广 上 面临 诸多 的 挑战 ， 但 
从 系统 安全 和 国家 安全 的 角度 而 言 ， 这 样 做 是 有 必要 的 。 目 前 关于 OMS 平台 的 安全 性 分 析 
方面 的 文献 ， 仍 然 十 分 少见 。OMS 在 多 个 层面 引入 安全 策略 以 保证 移动 终端 和 用 户 数据 的 
安全 性 ， 同 时 ， 还 具备 系统 备份 还 原 机 制 ， 防 止 用 户 数据 丢失 。 

随 着 移动 互联 网 大 潮 的 来 临 ， 以 及 智能 手机 和 平板 电脑 的 普及 ， 智 能 手机 应 用 以 及 平 
板 电 脑 应 用 将 逐步 增多 ， 智 能 手机 的 平台 安全 和 应 用 安全 将 会 越 来 越 受 到 重视 。 
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物 联网 结构 复杂 、 技 术 繁多 ， 面 临 的 安全 威胁 的 种 类 也 就 比较 多 。 本 章 主要 讲解 物 联 
网 感知 层 的 相关 知识 ， 在 对 RFID、 智 能 卡 、 传 感 器 网 络 节点 面临 的 物理 安全 威胁 进行 介绍 
的 基础 上 ， 重 点 阐述 了 RFID、 智 能 卡 、 传 感 器 节点 的 物理 安全 防护 技术 等 内 容 。 
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会 物 联 网 网 络 层 安 全 技术 分 析 


学 习 导 读 


网 络 层 是 物 联网 的 主要 核心 技术 ， 它 相当 于 人 的 神经 中 枢 和 大 
脑 ， 主 要 以 因特网 、 移 动 通信 网 、 卫 星 网 等 为 主 。 现 在 可 用 的 网 络 包 
括 互联 网 、 广 电网 络 、 通 信 网 络 等 ， 但 在 M2M 应 用 大 规模 普及 后 ， 
仍然 需要 解决 新 的 业务 模型 对 系统 容量 、 服 务 质 量 的 特别 要 求 。 另外 ， 
物 联 网 管理 中 心 、 信 息 中 心 、 云 计算 平台 、 专 家 系统 等 如 何 对 海量 信 
息 进 行 智能 处 理 ， 这 些 问题 都 亟待 突破 。 


NN IEE 


5.1 网 络 层 安 全 概述 


5.1.1 网 络 层 安全 面临 的 威胁 


TCP/P 协议 栈 TCP 的 下 一 层 是 网 络 层 ， 或 叫 作 人 P 层 。 网 络 层 主要 用 于 寻 址 和 路 由 ， 
它 并 不 提供 任何 错误 纠正 和 流 控 制 的 方法 。 网 络 层 使 用 较 高 的 服务 来 传送 数据 报 文 ， 所 有 
上 层 通 信 ， 如 TCP、UDP、ICMP、IGMP 都 被 封装 到 一 个 人 P 数据 包 中 。ICMP 和 IGMP 仅 
存 于 网 络 层 ， 因 此 被 当 作 一 个 单独 的 网 络 层 协议 来 对 待 。 网 络 层 应 用 的 协议 在 主机 到 主机 
的 通信 中 起 到 了 帮助 作用 ， 绝 大 多 数 的 安全 威胁 并 不 来 自 TCP/IP 堆栈 的 这 一 层 。 

IP 地 址 是 一 个 32 位 的 地 址 ， 可 以 在 TCP/IP 网 络 中 说 明 一 台 主 机 的 唯一 性 。 我 们 需要 
知道 一 个 他 地 址 是 什么 , 以 及 下 报头 中 包含 什么 。 一 个 下 报头 的 大 小 为 20 字 节 , PP 报头 
中 包含 一 些 信 息 和 控制 字段 ， 以 及 32 位 的 源 了 地 址 和 32 位 的 目标 人 P 地 址 。 这 个 字段 包括 
一 些 信息 ， 如 他 的 版 本 号 、 长 度 、 服 务 类 型 和 其 他 配置 。 每 一 个 人 P 数据 报 文 都 是 单独 的 信 
息 ， 从 一 台 主机 传递 到 另 一 台 主 机 ， 主 机 把 收 到 的 他 数据 包 整 理 成 一 个 可 使 用 的 形式 。 这 
种 开放 式 的 构造 使 得 IP 层 很 容易 成 为 黑客 的 目标 。 


1.1P 欺骗 


黑客 经 常 利用 一 种 叫 作 IP 欺骗 的 技术 ， 把 源 人 P 地 址 蔡 换 成 一 个 错误 的 人 P 地 址 。 接 收 
主机 不 能 判断 源 瑟 地 址 是 不 是 正确 的 ， 所 以 上 层 协议 必须 执行 一 些 检查 来 防止 这 种 欺骗 。 
在 这 层 中 经 常 发 现 的 另 一 种 策略 是 利用 源 路 由 卫 数据 包 ， 仅 仅 在 一 个 特殊 的 路 径 中 传输 ， 
这 种 利用 被 称 为 源 路 由 ， 这 种 数据 包 被 用 于 击破 安全 措施 ， 例 如 防火 墙 。 

使 用 他 欺骗 的 攻击 很 有 名 的 是 一 种 Smurf 攻击 。 一 个 Smurf 攻击 向 大 量 的 远程 主机 发 
送 一 系列 的 Ping 请 求 ， 然 后 对 目标 地 址 进行 回复 。 


2. ICMP 攻击 


Internet 控制 信息 协议 (ICMP) 在 IP 层 检查 错误 和 其 他 条 件 。Tribal Flood Network 是 一 种 
利用 ICMP 的 攻击 , 利用 ICMP 消耗 带宽 来 有 效 地 摧毁 站 点 。 另外, 微软 早期 版 本 的 TCP/IP 
堆栈 有 缺陷 ， 黑 客 发 送 一 个 特殊 的 ICMP 包 ， 就 可 以 使 之 月 溃 。 

网 络 层 安全 性 的 主要 优点 是 它 的 透明 性 。 也 就 是 说 ， 安 全 服务 的 提供 不 需要 应 用 程序 、 
其 他 通信 层次 和 网 络 部 件 做 任何 改动 。 它 的 主要 缺点 是 ICMP 中 的 Redirect 消息 可 以 用 来 欺 
骗 主机 和 路 由 器 ， 使 它们 使 用 假 路 径 。 这 些 假 路 径 可 以 直接 通 向 攻击 者 的 系统 而 不 是 一 个 
合法 的 可 信赖 的 系统 ， 这 会 使 攻击 者 获得 系统 访问 权 。 通 过 TCP/IP 发 出 一 个 数据 如 同 把 一 
封 信 丢 入 信箱 ， 发 出 者 知道 数据 正在 走向 信 宿 ， 但 发 出 者 不 知道 通过 什么 路 线 或 何 时 到 达 。 
这 种 不 确定 性 也 是 安全 漏洞 。 

3. 端口 结构 的 缺陷 


端口 是 一 个 软件 结构 ， 被 客户 程序 或 服务 进程 用 来 发 送 和 接收 消息 。 一 个 端口 对 应 于 
一 个 16 位 的 数 。 其 中 1024 个 端口 号 已 分 配给 专门 的 服务 ， 用 户 的 应 用 程序 可 使 用 的 端 
号 为 1024 一 64000。 服 务 进程 常 使 用 一 个 固定 的 端口 ， 这 些 端口 号 是 广为人知 的 ， 这 成 为 攻 
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击 者 公开 的 秘密 。 


5.1.2 网络 层 安全 技术 和 方法 

1. 逻辑 网 络 分 段 

逻辑 网 络 分 段 是 指 将 整个 网 络 系统 在 网 络 层 (ISO/OSI 模型 中 的 第 三 层 ) 上 进行 分 段 。 例 
如 ， 对 于 TCP/IP 网 络 ， 可 以 把 网 络 分 成 若干 下子 网 ， 各 子 网 必须 通过 中 间 设 备 进行 连接 ， 
并 利用 这 些 中 间 设 备 的 安全 机 制 来 控制 各 子 网 之 间 的 访问 。 

2. VLAN 的 实施 

基于 MAC 的 VLAN 不 能 防止 MAC 的 欺骗 攻击 。 因 此, VLAN 划分 最 好 基于 交换 机 端 
口 。VLAN 的 划分 目的 是 保证 系统 的 安全 性 。 因 此 ， 可 以 按照 系统 的 安全 性 来 划分 VLAN。 

3. 防火 墙 服务 

防火 墙 (EirewalD) 技 术 是 网 络 安全 的 重要 安全 技术 之 一 ， 其 主要 作用 是 在 网 络 入 口 点 检 
查 网 络 通信 ， 根 据 客户 设 定 的 安全 规则 ， 在 保护 内 部 网 络 安全 的 前 提 下 ， 提 供 内 外 网 络 通 
和信。 防火 墙 在 一 个 被 认为 是 安全 和 可 信 的 内 部 网 络 与 一 个 被 认为 是 不 那么 安全 和 可 信 的 外 
部 网 络 (通常 是 指 Internet) 之 间 提 供 一 道 安 全 屏障 ， 正 常情 况 下 是 被 安装 在 受 保护 的 内 部 网 
络 上 ， 并 接 入 Intemet。 防 火 墙 的 基本 结构 如 图 5-1 所 示 。 














2 防火 墙 





内 部 网 


图 5-1 防火 墙 的 基本 结构 
防火 墙 的 基本 类 型 有 包 过 滤 型 防火 墙 、 应 用 级 防火 墙 和 复合 型 防火 墙 。 








(1) 包 过 滤 型 防火 墙 。 包 过 滤 型 (Packet Filtering) 防 火 墙 检查 的 范围 涉及 网 络 层 、 传 输 
层 和 会 话 层 ， 过 滤 匹 配 的 原则 可 以 包括 源 地 址 、 目 的 地 址 、 传 输 协议 、 目 的 端口 ， 还 可 以 
根据 TCP 序列 号 、TCP 连接 的 握手 序列 (如 SYN、ACK) 的 逻辑 分 析 等 进行 判断 。 防 火 墙 配 
置 简洁 、 速 度 快 、 费 用 较 低 ， 并 且 对 用 户 透明 ， 但 是 对 应 用 层 的 信息 无 法 控制 ， 对 内 网 的 
保护 有 限 。 

路 由 器 通过 配置 其 中 的 访问 控制 列表 (ACL) 可 以 作为 包 过 滤 防 火 墙 使 用 ， 如 表 5-1 所 示 。 


表 5-1 访问 控制 列表 ACL 


源 端 口 目的 IP 目的 端口 协议 | 动作 | 记录 备 注 
any lisy any, Udp/Tep Deny | 防止 外 部 IP Spoof 
am WWW ip |80 Udp/Tcp |Permit 计 

































103. 


104 


物 联网 安全 技术 


续 表 







备 注 
| 允许 Mail 服务 

















any 
any | 人 允许 DNS 服务 
any | 允许 DNS 转发 








禁止 3 


其 他 服务 


(2) 应 用 级 防火 墙 。 应 用 级 防火 墙 能 够 检查 进出 的 数据 包 ， 透 视 应 用 层 协 议 ， 与 既定 
的 安全 策略 进行 比较 。 该 类 型 防火 墙 能 够 进行 更 加 细 化 复杂 的 安全 访问 控制 ， 并 做 精细 的 
注册 和 审核 。 根据 是 否 人 允许 两 侧 通信 主机 直接 建立 链 路 , 又 可 以 分 为 应 用 级 网 关 (Application 
Gateway) 和 代理 (Proxy) 服 务 两 种 。 目 前 流行 的 防火 墙 大 多 属于 应 用 级 防火 墙 。 

(3) 复合 型 防火 墙 。 由 于 对 更 高 安全 性 的 要 求 ， 在 实际 配置 防火 墙 时 ， 常 把 基于 包 过 
滤 的 方法 与 基于 应 用 代理 的 方法 结合 起 来 ， 形 成 复合 型 防火 墙 ， 提 供 更 高 的 安全 性 和 更 大 
的 灵活 性 。 

4. 加 密 技术 


加 密 型 网 络 安全 技术 的 基本 思想 是 不 依赖 于 网 络 中 数据 路 径 的 安全 性 来 实现 网 络 系 统 
的 安全 ， 而 是 通过 对 网 络 数据 的 加 密 来 保障 网 络 的 安全 可 靠 性 。 

加 密 技术 用 于 网 络 安全 通常 有 两 种 形式 ， 即 面向 网 络 和 面向 应 用 服务 。 前 者 通常 工作 
在 网 络 层 或 传输 层 ， 使 用 经 过 加 密 的 数据 包 传送 、 认 证 网 络 路 由 及 其 他 网 络 协议 所 需 的 信 
息 ， 从 而 保证 网 络 的 连通 性 不 受 损害 。 

5. 数字 签名 和 认证 技术 

认证 技术 主要 解决 网 络 通信 过 程 中 通信 双方 的 身份 认可 ， 数 字 签 名 是 身份 认证 技术 中 
的 一 种 具体 技术 ， 同 时 数字 签名 还 可 用 于 通信 过 程 中 的 不 可 抵赖 性 的 要 求 。 

1]) UserName/Password 认证 

该 种 认证 方式 是 最 常用 的 一 种 认证 方式 ， 用 于 操作 系统 登录 、Telnet、Rlogin 等 ， 但 此 
种 认证 方式 过 程 不 加 密 ， 即 Password 容易 被 监听 和 解密 。 

2) ”使 用 摘要 算法 的 认证 

Radius、OSPF、SNMP Security Protocol 等 均 使 用 共享 的 Security Key， 加 上 摘要 算法 
(MD5) 进 行 认证 。 由 于 摘要 算法 是 一 个 不 可 逆 的 过 程 ， 在 认证 过 程 中 ,摘要 信息 不 能 计算 出 
共享 的 Security Key, 因而 敏感 信息 不 在 网 络 上 传输 .市 场 上 主要 采用 的 摘要 算法 有 MD5 和 
SHA-1。 

3) 基于 PKI 的 认证 

使 用 公开 密 钥 体系 进行 认证 加 密 。 该 种 方法 安全 程度 较 高 ， 综 合 采用 了 摘要 算法 、 不 
对 称 加 密 、 对 称 加 密 、 数 字 签 名 等 技术 ， 结 合 了 高 效 性 和 安全 性 ， 但 涉及 繁重 的 证 书 管理 
任务 。 

PKI 是 用 以 创建 、 管 理 、 存储 、 分 配 和 撤销 基于 非 对 称 加 密 体 制 的 公 钥 证 书 的 一 组 硬件 、 
软件 、 人 员 、 政 策 和 规程 的 集合 。 通 常 ， 一 个 实用 的 PKI 体系 应 该 是 安全 的 、 易 用 的 、 灵 
活 的 和 经 济 的 。 它 必须 充分 考虑 互 操作 性 和 可 扩展 性 。 它 所 包含 的 认证 机 构 (CA)、 注 册 机 


























FE | 川 川 川 咱 加 
构 RA)、 策 略 管理 、 密 钥 (Keyj 与 证 书 (Certificatej 管 理 、 密 钥 备 份 与 恢复 、 撤 销 系统 等 功能 


















































模块 应 该 有 机 地 结合 在 一 起 。PKI 的 组 成 如 图 5-2 所 示 。 
操作 交互 
- ”| 端 实体 
管理 交互 ] PKI 的 用 户 
| PKI 的 管理 实体 
及 
CRL 
- -| CA 
管理 交互 
图 5-2 PKI 的 组 成 


4) ”数字 签名 

数字 签名 是 作为 验证 发 送 者 身份 和 消息 完整 性 的 根据 。 并且， 如 果 消 息 随 数字 签名 一 
同 发 出 ， 对 消息 的 任何 修改 在 验证 数字 签名 时 都 会 被 发 现 。 

5) VPN 技术 

网 络 系统 总 部 和 分 支 机 构 之 间 采 用 公 网 互联 ， 其 最 大 弱点 在 于 缺乏 足够 的 安全 性 。 完 
整 的 VPN 安全 解决 方案 ， 提 供 在 公 网 上 安全 的 双向 通信 ， 以 及 透明 的 加 密 方案 ， 以 保证 数 
据 的 完整 性 和 保密 性 。 


5.2 ”WLAN 安全 


5.2.1 无 线 局 域 网 WLAN 的 安全 威胁 


无 线 局 域 网 WLAN(Wireless Local Area Network) 是 计算 机 网 络 与 无 线 通 信 技 术 相 结 合 
的 产物 。 随 着 无 线 局 域 网 WLAN)、 第 四 代 移 动 通信 技术 (4G) 等 无 线 互 联网 技术 的 产生 和 运 
用 ， 无 线 网 络 使 人 们 的 生活 变 得 轻松 自如 ， 并 且 在 安装 、 维 护 等 方面 也 具有 有 线 网 无 法 比 
拟 的 优势 。 但 随 着 WLAN 应 用 市 场 的 逐步 扩大 , 除了 常见 的 有 线 网 络 的 安全 威胁 外 , WLAN 
的 安全 性 问题 显得 尤其 重要 。 


1. 无 线 局 域 网 的 网 络 结构 


无 线 局 域 网 可 分 为 两 大 类 : 第 一 类 是 有 固定 基础 设施 的 ， 即 有 接 入 点 AP; 第 二 类 是 无 
固定 基础 设施 的 ， 即 自 组 织 网 络 ( 也 就 是 对 等 网 络 ， 人 们 常 称 为 Ad Hoc 网 络 )。 所 谓 “ 固 定 
基础 设施 ”， 是 指 预先 建立 起 来 的 、 能 够 覆盖 一 定 地 理 范围 的 一 批 固定 基站 。 大 家 经 常 使 
用 的 蜂窝 移动 电话 就 是 利用 电信 公司 预先 建立 的 、 履 盖 全 国 的 大 量 固定 基站 来 接 通用 户 手 
机 拨打 的 电话 。 

对 于 第 一 类 有 固定 基础 设施 的 无 线 局 域 网 ，802.11 标准 规定 无 线 局 域 网 的 最 小 构件 是 
基本 服务 集 BSS(Basic Service Set)。 一 个 基本 服务 集 BSS 包括 一 个 基站 和 若干 移动 站 ， 所 
有 站 在 本 BSS 内 都 可 以 直接 通信 ,但 在 和 本 BSS 以 外 的 站 通信 时 都 必须 通过 本 BSS 的 基站 。 
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一 个 基本 服务 集 BSS 所 覆盖 的 地 理 范围 叫 作 一 个 基本 服务 区 BSA(Basic Service Area)。 基 本 
服务 区 BSA 和 无 线 移动 通信 的 蜂窝 小 区 相似 。 在 基础 结构 网 络 下 ， 无线 终 端 (Station，STA) 
通过 访问 节点 (Access Point，AP) 相 互通 信 ， 而 且 可 以 访问 有 线 网 络 ， 是 最 常用 的 网 络 拓扑 
结构 ; 自 组 织 网 络 是 无 线 终端 STA 之 间 相 互 连 接 通信 形成 的 一 种 工作 方式 。 基 础 结构 无 线 
局 域 网 如 图 5-3 所 示 。 


有 线 网 络 ， 分 布 式 系统 DS | 
































图 5-3 ”基础 结构 无 线 局 域 网 


在 无 线 局 域 网 中 , 一 个 基本 服务 区 BSA 的 范围 可 以 有 几 十 米 的 直径 。 在 802.11 标准 中 ， 
基本 服务 集 里 面 的 基站 叫 作 接 入 点 AP， 但 其 作用 和 网 桥 相 似 。 一 个 基本 服务 集 可 以 是 孤立 
的 ， 也 可 通过 接 入 点 AP 连接 到 一 个 主干 分 配 系统 DS(Distribution System)， 然 后 再 接 入 到 
另 一 个 基本 服务 集 ， 这 样 就 构成 了 一 个 扩展 的 服务 集 ESS(Extended Service Set)， 如 图 5-4 
所 示 。 分 配 系统 的 作用 就 是 使 扩展 的 服务 集 ESS 对 上 层 的 表现 就 像 一 个 基本 服务 集 BSS 一 
样 。 分 配 系统 可 以 使 用 以 太 网 (这 是 最 常用 的 )、 点 对 点 链 路 或 其 他 无 线 网 络 。 扩 展 服务 集 
ESS 还 可 为 无 线 用 户 提 供 到 非 802.11 无 线 局 域 网 的 接 入 ， 这 种 接 入 是 通过 叫 作 门 桥 (Portal) 
的 设备 来 实现 的 。 门 桥 也 是 802.11 定义 的 新 名 词 ， 其 实 它 的 作用 就 相当 于 一 个 网 桥 。 在 一 
个 扩展 服务 集 内 的 几 个 不 同 的 基本 服务 集 也 可 能 有 相交 部 分 ， 图 5-4 给 出 了 移动 站 A 从 某 
个 基本 服务 集 漫游 到 另 一 个 基本 服务 集 ， 而 仍然 可 保持 与 另 一 个 移动 站 B 进行 通信 。 当 然 ， 
A 在 不 同 的 基本 服务 集 所 使 用 的 接 入 点 AP 并 不 相同 。 基本 服务 集 的 服务 范围 是 由 移动 设备 
所 发 射 的 电磁 波 的 辐射 范围 确定 的 。 图 5-4 是 用 一 个 椭圆 来 表示 基本 服务 集 的 服务 范围 ， 当 
然 实际 上 的 服务 范围 可 能 是 很 不 规则 的 几何 形状 。 









































图 5-4 扩展 的 服务 集 ESS 
另 一 类 无 线 局 域 网 是 无 固定 基础 设施 的 无 线 局 域 网 ， 它 又 叫 作 自 组 织 网 络 (Ad Hoc 
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Network)。 这 种 自 组 织 网 络 没 有 上 述 基 本 服务 集中 的 接 入 点 AP， 而 是 有 一 些 处 于 平等 状态 
的 移动 站 之 间 的 相互 通信 组 成 的 临时 网 络 ， 图 5-5 中 画 出 了 当 移 动 站 A 和 下 通信 时 ， 是 经 
过 A 一 B,，B 一 C,，C 一 D 和 DD 一 E 这 样 一 连 串 的 存储 转发 过 程 。 因此 ， 从 源 节点 A 到 目的 节 
点 下 的 路 径 中 的 移动 站 B、C 和 D 都 是 转发 节点 ， 这 些 节点 都 具有 路 由 器 的 功能 。 由 于 自 
组 织 网 络 没有 预先 建 好 的 网 络 固定 基础 设施 (基站 ), 因此 自 组 织 网 络 的 服务 范围 通常 是 受 限 
的 ， 而 且 自 组 织 网 络 一 般 也 不 和 外 界 的 其 他 网 络 相 连接 。 移 动 自 组 织 网 络 也 就 是 移动 分 组 
无 线 网 络 。 
































图 5-5 自 组织 网 络 





自 组 织 网 络 存在 隐藏 终端 的 问题 , 存在 无 线 覆盖 范围 外 的 站 点 ， 自 组 织 网 中 的 站 点 “看 
不 到 ”这 些 站 点 ( 称 为 隐藏 终端 )， 侦 听 不 到 隐藏 终端 的 载波 信号 ， 所 以 无 法 避免 冲突 发 生 ， 
从 而 导致 CSMA 失效 ， 信 道 吞 吐 率 严重 下 降 。 如 图 5-6 所 示 ，A、D、C 分 别 都 能 与 B 通信 ， 
由 于 没有 全 覆盖 ， 结 果 导 致 : A、D 侦 听 不 到 C 的 载波 : C 侦 听 不 到 A、D 的 载波 ; 当 C、 
A 或 C、D 同时 发 送 数据 时 ， 彼 此 认为 没有 冲突 ， 实 际 上 冲突 会 在 B 处 发 生 。 


5-6 ”隐藏 终端 问题 


组 网 络 只 能 在 较 小 范围 内 组 网 ， 要 求 使 用 全 向 天 线 ， 使 所 有 站 点 能 够 全 覆盖 (避免 隐 
藏 终端 )。 由 于 信道 共享 ， 站 点 数 不 能 太 多 ， 否 则 竞争 信道 会 降低 网 络 的 吞吐 量 和 信道 利 
用 率 。 
由 于 在 自 组织 网 络 中 的 每 个 移动 站 都 要 参与 到 网 络 中 其 他 移动 站 路 由 的 发 现 和 维护 ， 
同时 由 移动 站 构成 的 网 络 拓扑 有 可 能 随时 间 变 化 得 很 快 ， 因 此 在 固定 网 络 中 行 之 有 效 的 一 
些 路 由 选择 协议 对 移动 自 组 织 网 络 已 不 再 适用 ， 这 样 ， 路 由 选择 协议 在 自 组 织 网 络 中 就 引 
起 了 特别 的 关注 。 另 一 个 重要 问题 是 多 播 ， 在 移动 自 组 织 网 络 中 往往 需要 将 某 个 重要 的 信 
息 同 时 向 多 个 移动 站 传送 。 这 种 多 播 比 固定 节点 网 络 的 多 播 要 复杂 得 多 ， 需 要 有 实时 性 好 
而 效率 高 的 多 播 协议 。 在 移动 自 组 织 网 络 中 ， 安 全 问题 也 是 一 个 更 为 突出 的 问题 。 
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在 IETF 下 面 设 有 一 个 专门 研究 移动 自 组 织 网 络 的 工作 组 MANET(Mobile Ad Hoc 
NETworks)。 读 者 可 在 MANET 网 站 查阅 到 有 关 移 动 自 组 织 网 络 的 技术 资料 。 

无 线 局 域 网 WLAN 的 主要 性 能 指标 如 下 。 

(1) 吞吐 量 : 信道 的 速率 和 介质 访问 效率 。 

(2) 节点 数 : 同时 容纳 的 无 线 站 点 数 。 

(3) 覆盖 范围 ， 无线 通 信 的 距离 ( 几 十 米 、 几 百 米 或 几 千 米 )。 

(4) 传输 安全 : 抗 干扰 能 力 、 防 入 侵 、 防 窃取 。 

(5) 漫游 : 移动 站 点 从 多 个 AP 接 入 的 能 

(6) 动态 配置 : 网 络 本 身 是 动态 的 ， 允 许 动态 地 、 自 动 地 对 站 点 进行 加 入 、 删 除 或 者 
重新 定位 而 不 影响 其 他 站 点 。 

(7) 频率 资源 ;占用 的 频率 带宽 、 许 可 证 频段 与 可 自由 使 用 的 频段 。 


2. WLAN 的 安全 风险 分 析 


(1) DHCP 导致 易 侵入 : 由 于 服务 集 标识 符 SSID 易 泄 露 ， 攻 击 者 可 轻易 窃取 SSID， 
并 成 功 与 接 入 点 建立 连接 。 当 然 ， 如 果 要 访问 网 络 资源 ， 还 需要 配置 可 用 的 IP 地 址 ， 但 多 
数 的 WLAN 采用 的 是 动态 主机 配置 协议 DHCP， 自 动 为 用 户 分 配 卫 ， 这 样 攻击 者 就 轻 而 易 
举 地 进入 了 网 络 。 

(2) 接 入 风险 : 主要 是 指 通过 未 授权 的 设备 接 入 无 线 网 络 ， 例 如 企业 内 部 一 些 员工 
购买 便宜 小 巧 的 WLAN 接 入 点 AP， 通 过 以 太 网 口 接 入 网 络 ， 如 果 这 些 设备 配置 有 问题 ， 
处 于 未 加 密 或 弱 加 密 的 条 件 下 ， 那 么 整个 网 络 的 安全 性 就 大 打折 扣 ， 造 成 了 接 入 危险 。 或 
者 是 企业 外 部 的 非法 用 户 与 企业 内 部 的 合法 AP 建立 了 连接 ， 这 都 会 使 网 络 安 全 失控 。 

(3) 客户 端 连接 不 当 : 一 些 部 署 在 工作 区 域 周围 的 AP 可 能 没有 做 安全 控制 , 企业 内 一 
些 合法 用 户 的 WiFi 卡 可 能 与 这 些 外 部 AP 连接 , 一 旦 这 个 客户 端 连接 到 外 部 AP, 企业 可 被 
信赖 的 网 络 就 存在 风险 。 

(4) 窃听 : 一 些 攻击 者 借助 802.11 分 析 器 , 而 且 这 时 AP 不 是 连接 到 交换 设备 而 是 Hub 
上 ， 由 于 Hub 的 工作 模式 是 广播 方式 ， 那 么 所 有 流 经 Hub 的 会 话 数据 都 会 被 捕捉 到 。 如 果 
黑客 手段 更 高 明 一 点 ， 就 可 以 伪装 成 合法 用 户 ， 修 改 网 络 数据 ， 如 目的 卫 等 ， 轻 易 攻 入 。 

(5) 拒绝 服务 攻击 : 这 种 攻击 方式 不 以 获取 信息 为 目的 ， 黑 客 只 是 想 让 用 户 无 法 访问 
网 络 服务 ， 其 不 断 地 发 送信 息 ， 使 合法 用 户 的 信息 一 直 处 于 等 待 状态 ， 无 法 正常 工作 。 


3. 无 线 局 域 网 的 安全 威胁 


由 于 无 线 局 域 网 通过 无 线 电波 传递 信息 ， 所 以 在 数据 发 射 机 覆盖 区 域内 的 几乎 任何 一 
个 WLAN 用 户 都 能 接触 到 这 些 数据 。WLAN 所 面临 的 基本 安全 威胁 主要 有 信息 泄露 、 完 整 
性 破坏 、 拒 绝 服务 和 非法 使 用 。 主 要 的 威胁 包括 非 授 权 访 问 、 窃 听 、 伪 装 、 算 改 信息 、 否 
认 、 重 放 、 重 路 由 、 错 误 路 由 、 删 除 消息 、 网 络 泛 洪 等 ， 均 为 常见 的 无 线 网 络 威胁 。 

(1) 非 授权 访问 : 入 侵 者 访问 未 授权 的 资源 或 使 用 未 授权 的 服务 。 入 侵 者 可 查看 、 删 
除 或 修改 未 授权 访问 的 机 密 信 息 ， 造 成 信息 泄露 、 完 整 性 破坏 ， 以 及 非法 访问 和 使 用 资源 。 

(2) 窃听 : 入 侵 者 能 够 通过 通信 信道 来 获取 信息 。AP 的 无 线 电波 难以 精确 地 控制 在 某 
个 范围 之 内 ， 所 以 在 AP 覆盖 区 域内 的 几乎 任何 一 个 STA 都 能 够 窃听 这 些 数据 。 

(3) 伪装 : 入 侵 者 能 够 伪装 成 其 他 STA 或 授权 用 户 ， 对 机 密 信息 进行 访问 ， 或 者 伪装 
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在 IETF 下 面 设 有 一 个 专门 研究 移动 自 组 织 网 络 的 工作 组 MANET(Mobile Ad Hoc 
NETworks)。 读 者 可 在 MANET 网 站 查阅 到 有 关 移 动 自 组 织 网 络 的 技术 资料 。 

无 线 局 域 网 WLAN 的 主要 性 能 指标 如 下 。 

(1) 吞吐 量 : 信道 的 速率 和 介质 访问 效率 。 

(2) 节点 数 : 同时 容纳 的 无 线 站 点 数 。 

(3) 覆盖 范围 ， 无线 通 信 的 距离 ( 几 十 米 、 几 百 米 或 几 千 米 )。 

(4) 传输 安全 : 抗 干扰 能 力 、 防 入 侵 、 防 窃取 。 

(5) 漫游 : 移动 站 点 从 多 个 AP 接 入 的 能 

(6) 动态 配置 : 网 络 本 身 是 动态 的 ， 允 许 动态 地 、 自 动 地 对 站 点 进行 加 入 、 删 除 或 者 
重新 定位 而 不 影响 其 他 站 点 。 

(7) 频率 资源 ;占用 的 频率 带宽 、 许 可 证 频段 与 可 自由 使 用 的 频段 。 


2. WLAN 的 安全 风险 分 析 


(1) DHCP 导致 易 侵入 : 由 于 服务 集 标识 符 SSID 易 泄 露 ， 攻 击 者 可 轻易 窃取 SSID， 
并 成 功 与 接 入 点 建立 连接 。 当 然 ， 如 果 要 访问 网 络 资源 ， 还 需要 配置 可 用 的 IP 地 址 ， 但 多 
数 的 WLAN 采用 的 是 动态 主机 配置 协议 DHCP， 自 动 为 用 户 分 配 卫 ， 这 样 攻击 者 就 轻 而 易 
举 地 进入 了 网 络 。 

(2) 接 入 风险 : 主要 是 指 通过 未 授权 的 设备 接 入 无 线 网 络 ， 例 如 企业 内 部 一 些 员工 
购买 便宜 小 巧 的 WLAN 接 入 点 AP， 通 过 以 太 网 口 接 入 网 络 ， 如 果 这 些 设备 配置 有 问题 ， 
处 于 未 加 密 或 弱 加 密 的 条 件 下 ， 那 么 整个 网 络 的 安全 性 就 大 打折 扣 ， 造 成 了 接 入 危险 。 或 
者 是 企业 外 部 的 非法 用 户 与 企业 内 部 的 合法 AP 建立 了 连接 ， 这 都 会 使 网 络 安 全 失控 。 

(3) 客户 端 连接 不 当 : 一 些 部 署 在 工作 区 域 周围 的 AP 可 能 没有 做 安全 控制 , 企业 内 一 
些 合法 用 户 的 WiFi 卡 可 能 与 这 些 外 部 AP 连接 , 一 旦 这 个 客户 端 连接 到 外 部 AP, 企业 可 被 
信赖 的 网 络 就 存在 风险 。 

(4) 窃听 : 一 些 攻击 者 借助 802.11 分 析 器 , 而 且 这 时 AP 不 是 连接 到 交换 设备 而 是 Hub 
上 ， 由 于 Hub 的 工作 模式 是 广播 方式 ， 那 么 所 有 流 经 Hub 的 会 话 数据 都 会 被 捕捉 到 。 如 果 
黑客 手段 更 高 明 一 点 ， 就 可 以 伪装 成 合法 用 户 ， 修 改 网 络 数据 ， 如 目的 卫 等 ， 轻 易 攻 入 。 

(5) 拒绝 服务 攻击 : 这 种 攻击 方式 不 以 获取 信息 为 目的 ， 黑 客 只 是 想 让 用 户 无 法 访问 
网 络 服务 ， 其 不 断 地 发 送信 息 ， 使 合法 用 户 的 信息 一 直 处 于 等 待 状态 ， 无 法 正常 工作 。 


3. 无 线 局 域 网 的 安全 威胁 


由 于 无 线 局 域 网 通过 无 线 电波 传递 信息 ， 所 以 在 数据 发 射 机 覆盖 区 域内 的 几乎 任何 一 
个 WLAN 用 户 都 能 接触 到 这 些 数据 。WLAN 所 面临 的 基本 安全 威胁 主要 有 信息 泄露 、 完 整 
性 破坏 、 拒 绝 服务 和 非法 使 用 。 主 要 的 威胁 包括 非 授 权 访 问 、 窃 听 、 伪 装 、 算 改 信息 、 否 
认 、 重 放 、 重 路 由 、 错 误 路 由 、 删 除 消息 、 网 络 泛 洪 等 ， 均 为 常见 的 无 线 网 络 威胁 。 

(1) 非 授权 访问 : 入 侵 者 访问 未 授权 的 资源 或 使 用 未 授权 的 服务 。 入 侵 者 可 查看 、 删 
除 或 修改 未 授权 访问 的 机 密 信 息 ， 造 成 信息 泄露 、 完 整 性 破坏 ， 以 及 非法 访问 和 使 用 资源 。 

(2) 窃听 : 入 侵 者 能 够 通过 通信 信道 来 获取 信息 。AP 的 无 线 电波 难以 精确 地 控制 在 某 
个 范围 之 内 ， 所 以 在 AP 覆盖 区 域内 的 几乎 任何 一 个 STA 都 能 够 窃听 这 些 数据 。 

(3) 伪装 : 入 侵 者 能 够 伪装 成 其 他 STA 或 授权 用 户 ， 对 机 密 信息 进行 访问 ， 或 者 伪装 
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成 AP， 接 收 合法 用 户 的 信息 。 

(4) 算 改 信息 : 当 非 授权 用 户 访问 系统 资源 时 ， 会 算 改 信息 ， 从 而 破坏 信息 的 完整 性 。 

(5) 否认 : 接收 信息 或 服务 的 一 方 事 后 否认 曾经 发 送 过 请 求 或 接收 过 该 信息 及 服务 。 
这 种 安全 威胁 通常 来 自 系统 内 的 合法 用 户 ， 而 不 是 来 自 未 知 的 攻击 者 。 

(6) 重 放 、 重 路 由 、 错 误 路 由 、 删 除 消息 重 放 攻 击 是 攻击 者 复制 有 效 的 消息 ， 事 后 
重新 发 送 或 重用 这 些 消息 以 访问 某 种 资源 ， 重 路 由 攻击 (主要 是 在 Ad Hoc 模式 中 ) 是 指 攻击 
者 改变 消息 路 由 以 便 捕 获 有 关 信息 ;错误 路 由 攻击 能 够 将 消息 路 由 发 送 到 错误 的 目的 地 ; 
而 删除 消息 是 攻击 者 在 消息 到 达 目 的 地 前 将 消息 删除 掉 ， 使 得 接收 者 无 法 收 到 消息 。 

(7) 网 络 泛 洪 : 入 侵 者 发 送 大 量 伪造 的 或 无 关 消息 ， 从 而 使 AP( 或 者 STA) 忙 于 处 理 这 
些 消息 而 耗 尽 信道 资源 和 系统 资源 ， 进 而 无 法 为 合法 用 户 提供 服务 。 


4. 无 线 局 域 网 的 协议 标准 


WLAN 技术 发 展 至 今 ,主要 分 为 两 大 协议 体系 : IEEE 802.11 协议 标准 体系 和 欧洲 CEPT 
制定 的 HiperLAN 协议 标准 体系 。 无 线 接 入 技术 区 别 于 有 线 接 入 的 特点 之 一 是 标准 不 统一 ， 
不 同 的 标准 有 不 同 的 应 用 。 由 于 WLAN 是 基于 计算 机 网 络 与 无 线 通信 技术 ， 在 计算 机 网 络 
结构 中 ， 逻 辑 链 路 控制 (LLC) 层 及 其 上 的 应 用 层 对 不 同 的 物理 层 的 要 求 可 以 是 相同 的 ， 也 可 
以 是 不 同 的 ， 因 此 ，WLAN 标准 主要 是 针对 物理 层 和 媒体 访问 控制 层 (MAC)， 涉 及 所 使 用 
的 无 线 频率 范围 、 空 中 接口 通信 协议 等 技术 规范 与 技术 标准 。 无 线 技术 包括 无 线 局 域 网 技 
术 和 以 GPRS/4G 为 代表 的 无 线 网 络 技术 ， 这 些 标准 和 技术 发 展 到 今天 ， 已 经 出 现 了 包括 
IEEE 802.11 连接 技术 ,蓝牙 无 线 接 入 技术 和 家 庭 网 络 的 HomeRF 等 在 内 的 多 项 标准 与 规范 。 
目前 比较 流行 的 有 以 下 几 种 标准 。 

1) IEEE 802.11 系列 标准 

(1) IEEE 802.11 标准 。IEEE 802.11 是 IEEE 制定 的 第 一 个 无 线 局 域 网 标准 ， 主 要 用 于 
解决 办 公 室 局 域 网 和 校园 网 中 用 户 与 用 户 终端 的 无 线 接 入 ， 业 务 主要 限于 数据 访问 ， 速 率 
最 高 只 能 达到 2 Mb/s。1990 年 ，IEEE 802 标准 化 委员 会 成 立 IEEE 802.11 WLAN 标准 工作 
组 。IEEE 802.11( 别 名 WiFi，Wireless Fidelity， 无 线 保 真 ) 是 在 1997 年 6 月 由 大 量 的 局 域 网 
以 及 计算 机 专家 审定 通过 的 标准 ， 该 标准 定义 了 物理 层 和 媒体 访问 控制 (MAC) 规 范 。 物 理 
层 定 义 了 数据 传输 的 信号 特征 和 调制 , 定义 了 两 个 RF 传输 方法 和 一 个 红外 线 传输 方法 。RF 
传输 标准 是 跳 频 扩 频 和 直接 序列 扩 频 ， 工 作 在 2.4G 一 2.4835 GHz 频段 。 由 于 它 在 速率 和 传 
输 距 离 上 都 不 能 满足 人 们 的 需要 ,所 以 IEEE 802.11 标准 被 IEEE 802.11b 所 取代 .因此 ,IEEE 
小 组 又 相继 推出 了 802.11b、802.11a 和 802.11g， 以 及 802.11i 和 802.11e 等 新 标准 。 

(2) IEEE 802.11b 标准 。1999 年 9 月 ，IEEE 802.11b 被 正式 批准 ， 该 标准 规定 WLAN 
工作 频段 在 2.4G~2.4835 GHz， 数 据 传输 速率 达到 11Mb/s， 传 输 距离 控制 在 50~150 英尺 
(1 英尺 =0.3048 米 )。 该 标准 是 对 IEEE 802.11 的 一 个 补充 ， 采用 补偿 编码 键 控 调制 方式 ， 采 
用 点 对 点 模式 和 基本 模式 两 种 运作 模式 ， 在 数据 传输 速率 方面 ， 可 以 根据 实际 情况 在 11 
Mb/s、5.5 Mb/s、2 Mb/s、1 Mb/s 的 不 同 速率 间 自 动 切换 。 它 改变 了 WLAN 的 设计 状况 ， 
扩大 了 WLAN 的 应 用 领域 。IEEE 802.11 已 成 为 当前 主流 的 WLAN 标准 之 一 ， 被 多 数 厂 商 
所 采用 ， 所 推出 的 产品 广泛 应 用 于 办 公 室 、 家 庭 、 宾 馆 、 和 车站、 机场 等 众多 场合 。 但 是 由 
于 许多 WLAN 的 新 标准 的 出 现 ，IEEE 802.11a 和 IEEE 802.11g 更 受 业 界 关注 。 
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(3) IEEE 802.11a 标准 。1999 年 ，IEEE 802.11a 标准 制定 完成 ， 该 标准 规定 WLAN 工 
作 频 段 在 5.15G~8.825 GHz， 数 据 传输 速率 达到 54 Mb/s 或 72 Mb/s(Turbo)， 传 输 距离 控制 
在 10~100 米 。 该 标准 也 是 IEEE 802.11 的 一 个 补充 ,扩充 了 标准 的 物理 层 ， 并 且 采 用 正 交 
频 分 复 用 (OFDM) 的 独特 扩 频 技术 ， 采 用 QFSK 调制 方式 ， 可 提供 25 Mb/s 的 无 线 ATM 接 
口 和 10 Mb/s 的 以 太 网 无 线 帧 结构 接口 ， 支 持 多 种 业务 ， 如 语音 、 数 据 和 图 像 等 。 一 个 扇 区 
可 以 接 入 多 个 用 户 ， 每 个 用 户 可 带 多 个 用 户 终端 。IEEE 802.11a 标准 是 IEEE 802.11b 的 后 
续 标准 ， 其 设计 初衷 是 取代 802.11b 标准 ， 然 而 工作 于 2.4 GHz 频带 是 不 需要 执照 的 ， 该 频 
段 属 于 工业 、 教 育 、 医 疗 等 专用 频段 ， 是 公开 的 ， 而 工作 于 5.15G~8.825 GHz 频带 是 需要 
执照 的 。 一 些 公司 仍 没有 表示 对 802.11a 标准 的 支持 ,而 另 一 些 公司 更 加 看 好 最 新 混合 标准 
802.11g。 一 个 无 线 局 域 网 既 可 当 作 有 线 局 域 网 的 扩展 来 使 用 ， 也 可 以 独立 作为 有 线 局 域 网 
的 蔡 代 设施 ， 因 此 无 线 局 域 网 提供 了 很 强 的 组 网 灵活 性 。 

(4) IEEE 802.11g 标准 。802.11g 其 实 是 一 种 混合 标准 ， 它 既 能 适应 传统 的 802.11b 标 
准 ， 在 2.4 GHz 频率 下 提供 11 Mb/s 数据 传输 率 ; 也 符合 802.11a 标准 ， 在 5 GHz 频率 下 提 
供 56 Mb/s 数据 传输 率 。 

为 了 进一步 加 强 无 线 网 络 的 安全 性 和 保证 不 同 厂 家 之 间 无 线 安全 技术 的 兼容 ，IEEE 
802.11 工作 组 目前 正在 开发 作为 新 的 安全 标准 的 下 EE 802.11i, 并 且 致 力 于 从 长 远 角度 考虑 
解决 IEEE 802.11 无 线 局 域 网 的 安全 问题 .IEEE 802.11i 标准 草案 中 主要 包含 加 密 技术 TKIP 
和 AES， 以 及 认证 协议 IEEE 802.1x。IEEE 802.11i 将 为 无 线 局 域 网 的 安全 提供 可 信 的 标准 
支持 。 

(5) IEEE 802.11n 标准 。2009 年 9 月 ，IEEE 802. 11n 标准 正式 公布 ，WLAN 的 传输 速 
率 由 802.11a 及 802.11g 提供 的 54 Mb/s、108 Mb/s, 提高 到 350 Mb/s, 甚至 高 达 475 Mb/s， 
不 仅 传输 速率 得 到 提高 ， 而 且 在 网 络 稳定 性 和 覆盖 范围 上 都 得 到 提升 。802.11n 标准 也 让 用 
户 可 以 更 加 放心 地 选择 无 线 网 络 。802.11n 将 MIMO( 多 入 多 出 ) 与 OFDM( 正 交 频 分 复 用 ) 技 
术 相 结合 而 应 用 的 MIMO OFDM 技术 ， 提 高 了 无 线 传输 质量 ， 也 使 传输 稳定 性 得 到 极 大 提 
升 。 在 覆盖 范围 方面 ，802. 11n 采用 智能 天 线 技术 ， 通 过 多 组 独立 天 线 组 成 的 天 线 阵 列 ， 可 
以 动态 调整 波束 ， 保 证 让 WLAN 用 户 接收 到 稳定 的 信号 ， 并 可 以 减少 其 他 信号 的 干扰 ， 因 
此 其 覆盖 范围 可 以 扩大 到 数 平方 千 米 ， 使 WLAN 移动 性 得 到 极 大 提高 。 基 于 802. 11n 的 第 
一 个 大 规模 应 用 项 目 在 不 久 前 正式 运行 , 一 个 由 720 台 802.11n 接 入 点 构成 的 无 线 校园 网 在 
JMorrisville 州立 学 院 投入 了 使 用 ,学 生 们 可 以 在 150 Mb/s 的 高 速 WiFi 环境 中 享受 到 802.11n 
带 来 的 诸多 新 应 用 。 据 悉 ， 卡 内 基 。 梅 隆 大 学 曾 在 2008 年 进行 更 大 规模 的 无 线 校园 网 升级 
计划 ， 目 前 802.1 ln 接 入 点 的 部 署 数 量 为 3800 个 。 

2) ”家 庭 网 络 的 HomeRF 与 HPERLAN 协议 

(1) 家 庭 网 络 的 HomeRF。 由 美国 家 用 射频 委员 会 推出 的 HomeRF 主要 是 为 家 庭 网 络 
设计 的 ， 是 IEEE 802.11 与 DECT( 数 字 无 绳 电话 标准 ) 的 结合 ， 旨 在 降低 语音 数据 成 本 。 
HomeRF 也 采用 了 扩 频 技术 ,工作 在 2.4 GHz 频带 ， 能 同步 支持 4 条 高 质量 语音 信道 。 但 目 
前 HomeRF 的 传输 速率 只 有 1M~2 Mb/s，FCC 建议 增加 到 10 Mb/s。 

(2) HiperLAN 协议 标准 体系 。 欧 洲 电 信 标 准 化 协会 (ETSD 的 宽带 无 线 电 接 入 网 络 
(BRAM) 小 组 制定 的 HiperLAN， 有 HiperLAN1 和 HiperLAN2。HiperLAN2 标准 详细 定义 
了 WLAN 的 检测 功能 和 转换 信 令 ,用 以 支持 许多 无 线 网 络 , 并 支持 动态 频率 选择 (DFS)、 无 
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线 信 元 转换 、 链 路 自 适应 、 多 束 天 线 和 功率 控制 等 HiperLAN1 对 应 802.11b, 而 HiperLAN2 
与 802.11a 具有 相同 的 物理 层 ,它们 可 以 采用 相同 的 部 件 。 另 外 ，HiperLAN2 强调 与 4G 整 
合 。HiperLAN2 标准 也 是 目前 较 完善 的 WLAN 协议 。 

3) ”蓝牙 (Bluetooth) 

蓝牙 (IEEE 802.15) 是 一 项 最 新 标准 ， 对 于 802.11 来 说 ， 它 的 出 现 不 是 为 了 竞争 而 是 相 
互补 充 。 蓝 牙 (Bluetooth) 技 术 是 由 世界 著名 的 五 家 大 公司 爱立信 (Ericsson)、 诺 基 亚 
(Nokia)、 东 芝 (Toshiba)、 国 际 商 用 机 器 公司 (IBM) 和 英特尔 (Intel) 于 1998 年 5 月 联合 宣布 的 
一 种 无 线 通信 新 技术 。“ 蓝 牙 ”(Bluetooth) 原 是 一 位 在 10 世纪 统一 丹麦 的 国王 ， 他 凭借 强 
悍 的 沟通 能 力 未 动 一 枪 一 刀 ， 将 现今 的 瑞典 、 芬 兰 与 丹麦 统一 成 一 个 宗教 国家 。 爱 立信 用 
他 的 名 字 来 命名 这 种 新 的 技术 标准 。 蓝 牙 的 目标 是 实现 最 高 数据 传输 速度 1 Mb/s( 有 效 传 输 
速率 为 721 Kb/s), 最 大 传输 距离 为 0.1~10m, 通过 增加 发 射 功率 可 达到 100 m。 蓝 牙 比 802.11 
更 具 移 动 性 ， 比 如 ，802.11 限制 在 办 公 室 和 校园 内 ， 而 蓝牙 却 能 把 一 个 设备 连接 到 LAN( 局 
域 网 ) 和 WAN( 广 域 网 )， 甚 至 支持 全 球 漫游 。 此 外 ， 蓝 牙 成 本 低 、 体 积 小 ， 可 用 于 更 多 的 
设备 。 

蓝牙 的 主要 技术 特点 如 下 。 

(1) 蓝牙 的 指定 范围 是 10m， 在 加 入 额外 的 功率 放大 器 后 ， 可 以 将 距离 扩展 到 100m。 

(2) 提供 低 价 、 大 容量 的 语音 和 数据 网 络 ， 最 高 数据 传输 速率 为 723.2Kb/s。 

(3) 使 用 快速 跳 频 (1600 跳 /s) 避 免 干 扰 ， 在 干扰 下 ， 使 用 短 数据 帧 来 尽 可 能 增 大 容量 。 

(4) 支持 单 点 和 多 点 连接 ， 可 采用 无 线 方式 将 若干 蓝牙 设备 连 成 一 个 或 多 个 微波 网 ， 
从 而 实现 各 类 设备 之 间 的 快速 通信 。 

(5) 任 一 蓝牙 设备 , 都 可 根据 IEEE 802 标准 得 到 一 个 唯一 的 48 位 的 地 址 码 , 保证 完成 
通信 过 程 中 的 鉴 权 和 保密 安全 。 


5.2.2 无 线 局 域 网 的 安全 机 制 


早期 版 本 的 IEEE 802.11 无 线 局 域 网 WLAN 有 一 个 特定 的 安全 架构 ， 称 为 WEP(Wired 
Equivalent Privacy， 有 线 等 效 保 密 )。 其 含义 是 WLAN 至 少 要 和 LAN( 即 有 线 局 域 网 ) 的 安全 
性 相当 (等 价 )。 例 如 ， 一 个 攻击 者 希望 连接 一 个 LAN， 需 要 物理 上 接 入 集线器 ， 然 而 集 线 
器 通常 锁 在 房间 或 柜子 里 ， 所 以 很 难 办 到 。 但 是 对 WLAN 而 言 攻 击 者 就 很 容易 ， 因 为 此 时 
接 入 网 络 不 需要 从 物理 上 接 入 任何 设备 , 设计 WEP 的 目的 之 一 便 是 设法 阻止 这 种 非 授 权 的 
接 入 。 总 体 来 说 ，WEP 要 使 得 攻击 WLAN 的 难度 与 攻击 LAN 的 难度 相当 ， 除 阻止 非 授权 
的 接 入 外 ， 还 包括 阻止 对 通信 消息 的 窃听 与 破坏 。 但 实际 上 WEP 没有 达到 这 一 目的 。 为 了 
改进 WEP 的 安全 性 ，IEEE 后 来 提出 了 WLAN 的 一 种 新 的 安全 架构 ， 称 为 IEEE 802.11i。 
同时 ， 我 国 提出 了 针对 WLAN 安全 的 国际 标准 WAPI。 

无 线 局 域 网 的 安全 机 制 主要 采用 鉴 权 、 加 密 和 认证 技术 来 实现 。 

在 有 线 局 域 网 中 ， 信 号 是 在 封闭 的 网 线 中 传输 ， 具 有 封闭 性 和 可 控 性 。 在 WLAN 中 ， 
信号 是 无 线 传输 ， 不 具备 封闭 性 和 可 控 性 ， 所 以 在 802.11 无 线 网 中 用 “上 鉴 权 ”替代 有 线 网 
物理 连接 ， 用 “加 密 ” 蔡 代 有 线 网 的 封闭 性 和 机 密 性 。 

(1) 鉴 权 : WLAN 中 一 个 站 点 STA 向 另 一 个 站 点 STA 证 明 其 身份 的 过 程 。 

鉴 权 过 程 : 问题 提出 一 申请 提出 一 结果 交换 。 有 具体 的 鉴 权 步骤 如 图 5-7 所 示 。 
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取消 鉴 权 : 若 终止 当前 鉴 权 ， 则 调用 取消 鉴 权 服务 。 
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证 明 STA2 身 份 



























图 5-7 鉴 权 步骤 


(2) 加 密 加 密 是 对 消息 内 容 进行 加 密 ， 加 密 是 属于 站 点 服务 ， 用 来 实现 无 线 网 的 封 
闭 性 和 机 密 性 。 

由 于 无 线 局 域 网 采用 公共 的 电磁 波 作为 载体 ， 更 容易 受到 非法 用 户 入 侵 和 数据 窃听 。 
无 线 局 域 网 必须 考虑 的 安全 因素 有 3 个 : 信息 保密 、 身 份 验证 和 访问 控制 。 为 了 保障 无 线 
局 域 网 的 安全 ， 主 要 有 以 下 几 种 技术 。 

(1) 物理 地 址 (MAC) 过 滤 。 每 个 无 线 工作 站 的 无 线 网 卡 都 有 了 唯一 的 物理 地 址 ， 类 似 以 
太 网 物理 地 址 。 可 以 在 AP 中 建立 允许 访问 的 MAC 地 址 列表 ， 如 果 AP 数量 太 多 ， 还 可 以 
实现 所 有 AP 统一 的 无 线 网 卡 MAC 地 址 列表 ， 现 在 的 AP 也 支持 无 线 网 卡 MAC 地 址 的 集 
中 Radius 认证 。 这 种 方法 要 求 MAC 地 址 列表 必须 随时 更 新 ， 可 扩展 性 差 。 

(2) 服务 集 标识 符 (SSID) 匹 配 。 对 AP 设置 不 同 的 SSID， 无 线 工作 站 必须 出 示 正 确 的 
SSID 才能 访问 AP， 这 样 就 可 以 允许 不 同 的 用 户 群 组 接 入 ， 并 区 别 限制 对 资源 的 访问 。 

(3) 有 线 等 效 保密 (WEP)。 有 线 等 效 保密 协议 是 由 802.11 标准 定义 的 ， 用 于 在 无 线 局 
域 网 中 保护 链 路 层 数据 。WEP 使 用 40 位 钥匙 ， 采 用 RSA 开发 的 RC4 对 称 加 密 算法 ， 在 链 
路 层 加 密 数 据 。WEP 加 密 采用 静态 的 保密 密 钥 ， 各 无 线 工 作 站 使 用 相同 的 密 钥 访 问 无 线 网 
络 。WEP 也 提供 认证 功能 ， 当 加 密 机 制 功 能 启用 ， 客 户 端 要 尝试 连接 上 AP 时 ，AP 会 发 出 
一 个 挑战 包 给 客户 端 ， 客 户 端 再 利用 共享 密 钥 将 此 值 加 密 后 送 回 存 取 点 以 进行 认证 比 对 ， 
如 果 正 确 无 误 , 就 能 获准 存 取 网 络 的 资源 。40 位 WEP 具有 很 好 的 互 操作 性 , 所 有 通过 WiFi 
组 织 认证 的 产品 都 可 以 实现 WEP 互 操作 。 现 在 的 WEP 一 般 支 持 128 位 的 钥匙 ， 能 够 提供 
更 高 等 级 的 安全 加 密 。 

(4) 虚拟 专用 网 络 (VPN)。VPN(Virtual Private Networking) 是 指 在 一 个 公共 的 卫 网 络 平 
台 上 通过 隧道 以 及 加 密 技术 保证 专用 数据 的 网 络 安 全 性 , 它 主要 采用 DES、3DES 以 及 AES 
等 技术 来 保障 数据 传输 的 安全 。 

(5) WiFi 保护 访问 (WPA)。 WPA(WiFi Protected Access) 技 术 是 在 2003 年 正式 提出 并 推 
行 的 一 项 无 线 局 域 网 安全 技术 ， 它 是 代替 WEP 的 无 线 安全 协议 。WPA 是 IEEE 802.11i 的 
一 个 子 集 ， 其 核心 就 是 IEEE 802.1x 和 TKIP(Temporal Key Integrity ProtocoD)。 新 一 代 的 加 
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密 技术 TKIP 与 WEP 一 样 基于 RC4 加 密 算 法 ， 它 对 现 有 的 WEP 进行 了 改进 ， 在 现 有 的 
WEP 加 密 引 擎 中 增加 了 密 钥 细 分 (每 发 一 个 包 重 新 生成 一 个 新 的 密 钥 )、 消 息 完 整 性 检查 
(MIC)、 具 有 序列 功能 的 初始 向 量 、 密 钥 生 成 和 定期 更 新 功能 等 4 种 算法 ， 极 大 地 提高 了 加 
密 安全 强度 。 另外 , WPA 增加 了 为 无 线 客 户 端 和 无 线 AP 提供 认证 的 IJEEE 802.1x 的 Radius 
机 制 。 

无 线 局 域 网 的 安全 机 制 主要 有 以 下 几 种 。 


1. WEP 加 密 和 认证 机 制 


由 于 有 线 等 效 保密 协议 WEP 是 由 802.11 标准 定义 的 ， 现 在 已 经 被 WPA 所 代替 ， 所 以 
下 面 对 WEP 做 简单 介绍 。 

在 802.11 中 有 一 个 对 数据 基于 共享 密 钥 的 加 密 机 制 ， 称 为 有 线 等 效 保密 (Wired 
Equivalent Privacy，WEP)。WEP 是 一 种 基于 RC4 算法 的 40 位 或 128 位 加 密 技 术 。 移 动 终 
端 和 AP 可 以 配置 4 组 WEP 密 钥 , 加 密 传输 数据 时 可 以 轮流 使 用 , 允许 加 密 密 钥 动态 改变 。 

1) WEP 加 密 

在 IEEE 802.11 1999 年 版 本 的 协议 中 ， 规 定 了 安全 机 制 WEP。WEP 提供 3 个 方面 的 安 
全 保护 : 数据 机 密 性 、 数 据 完整 性 以 及 认证 机 制 。 其 中 使 用 了 RC4 序列 密码 算法 ， 用 密 钥 
作为 种 子 通过 RC4 算法 产生 伪 随 机 密 钥 序 列 (PRKS), 然后 和 明文 数据 异 或 后 得 到 密 文 序列 。 
WEP 协议 希望 能 提供 给 用 户 与 有 线 网 络 相等 价 的 安全 性 。 然 而 研究 分 析 表 明 ，WEP 机 制 存 
在 较 大 安全 漏洞 : WEP 加 密 是 AP 的 可 选 功能 ， 在 大 多 数 的 实际 产品 中 (如 无 线路 由 器 ) 
默认 为 关闭 ， 因 此 用 户 数据 还 是 暴露 在 攻击 者 面前 。@WEP 对 RC4 的 使 用 方式 不 正确 ， 易 
受 初始 向 量 (IV) 弱 点 攻击 ， 从 而 破解 秘密 密 钥 (SK)。@ 初 始 向 量 (IV) 空 间 太 小 ， 序 列 加密 算 
法 的 一 个 重要 缺陷 是 加 密使 用 的 伪 随 机 密 钥 序列 不 能 出 现 重 复 .@OWEP 中 的 CRC32 算法 原 
本 用 于 检查 通信 中 的 随机 误 码 ， 不 具有 抗 恶 意 攻击 所 需要 的 消息 鉴别 功能 。 

由 于 WEP 机 制 中 所 使 用 的 密 钥 只 能 是 四 组 中 的 一 个 ， 因 此 其 实质 上 还 是 静态 WEP 加 
密 。 同 时 ，AP 和 它 所 联系 的 所 有 移动 终端 都 使 用 相同 的 加 密 密 钥 ， 使 用 同一 AP 的 用 户 也 
使 用 相同 的 加 密 密 钥 ， 因 此 带 来 如 下 问题 : 一 旦 其 中 一 个 用 户 的 密 钥 泄露 ， 其 他 用 户 的 密 
钥 也 无 法 保密 了 。 

2) “WEP 认证 机 制 

WEP( 即 IEEE 802.11 中 的 安全 机 制 ) 认 证 技术 可 用 于 独立 基本 服务 集中 的 STA 之 间 的 认 
证 ， 也 可 用 于 基本 服务 集中 的 STA 和 AP 之 间 的 认证 。WEP 有 两 种 认证 方式 : 开放 系统 认 
证 和 共享 密 钥 认 证 。 开 放 系 统 认证 方式 实际 上 没有 认证 ， 仅 验证 标识 ， 即 只 要 STA 和 AP 
的 SSID 是 一 致 的 即 可 ， 是 一 种 最 简单 的 情况 ， 也 是 默认 方式 。 

3) ”WEP 认证 机 制 存 在 的 问题 

身份 认证 是 单 向 的 ， 即 AP 对 申请 接 入 的 STA 进行 身份 认证 ， 而 STA 不 能 对 AP 的 身 
份 进行 认证 。 因 此 ， 这 种 单 向 认证 方式 导致 有 可 能 存在 假冒 的 AP。 

从 WEP 协议 身份 认证 过 程 可 以 发 现 ， 由 于 AP 会 以 明文 的 形式 把 挑战 文本 发 给 STA， 
所 以 如 果 能 够 监听 一 个 成 功 的 STA 与 AP 之 间 身 份 验证 的 全 过 程 ， 截 获 它 们 之 间 双 方 互相 
发 送 的 数据 包 (挑战 文本 与 加 密 的 挑战 文本 )， 就 可 以 计算 出 用 于 加 密 挑 战 文本 的 密 钥 序列 。 
拥有 了 该 密 钥 序列 , 攻击 者 可 以 向 AP 提出 访问 请 求 ,并 利用 该 密 钥 序列 加 密 挑战 文本 通过 
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认证 。 
2. IEEE 802.1x 认证 机 制 


由 上 节 可 知 IEEE 802.11 WEP 协议 的 认证 机 制 存 在 安全 隐患 ， 为 了 解决 无 线 局 域 网 用 
户 的 接 入 认证 问题 ，IEEE 工作 组 于 2001 年 公布 了 802.1x 协议 (最 新 为 2010 版 本 )。IEEE 
802.1x 协议 称 为 基于 端口 的 访问 控制 协议 (Port Based Network Access Control Protocol)， 它 
提供 访问 控制 、 用 户 认 证 以 及 计 费 功能 。IEEE 802.1x 本 身 并 不 提供 实际 的 认证 机 制 ， 需 要 
和 上 层 认证 协议 (EAP) 配 合 来 实现 用 户 认证 。IEEE 802.1x 在 无 线 网 络 (WLAN) 和 有 线 网 络 
(LAN) 中 均 可 应 用 ， 其 核心 是 扩展 认证 协议 (Extensible Authentication Protocol，EAP)。 

802.1x 协议 是 基于 Client/Server( 客 户 / 服 务 器 ) 结 构 的 访问 控制 和 认证 协议 。 它 可 以 限制 
未 经 授权 的 用 户 / 设 备 通 过 接 入 端口 (Access Port) 访 问 LAN( 或 者 AP 访问 WLAN)。 在 获得 交 
换 机 或 LAN 提供 的 各 种 业务 之 前 ,802.1x 对 连接 到 交换 机 端口 上 的 用 户 / 设 备 进行 认证 。 在 
认证 通过 之 前 ,802.1x 只 允许 EAPoLAN( 基 于 局 域 网 的 扩展 认证 协议 ), 对 于 WLAN 情形 是 
EAPoWLAN 数据 通过 设备 连接 的 交换 机 端口 : 认证 通过 以 后 ,正常 的 数据 可 以 顺利 地 通过 
以 太 网 端口 (或 WLAN 的 AP)。 

802.1x 的 过 程 可 简单 描述 为 : 请 求 者 提供 凭证 ， 如 用 户 名 /密码 、 数 字 证 书 等 ， 给 认证 
者 ; 认证 者 将 这 些 凭证 转发 给 认证 服务 器 ， 认 证 服务 器 决定 凭证 是 否 有 效 ， 并 依次 决定 请 
求 者 是 否 可 以 访问 网 络 资源 。802.1x 的 工作 过 程 (以 EAP-MD5 为 例 ) 如 图 5-8 所 示 。 
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5-8 ”802.1x 的 工作 过 程 (以 EAP-MD5 为 例 ) 


1) IEEE 802.1x 认证 的 体系 结构 

IEEE 802.1x 协议 起 初 是 针对 以 太 网 提出 的 基于 端口 进行 网 络 访问 控制 的 安全 标准 。 基 
于 端口 的 网 络 访问 控制 指 的 是 利用 物理 层 对 连接 到 局 域 网 端口 的 设备 进行 身份 认证 。 如 果 
认证 成 功 ， 则 允许 该 设备 访问 局 域 网 资源 ， 否 则 禁止 。 虽 然 802.1x 标准 最 初 是 为 局 域 网 设 
计 的 ， 后 来 发 现 它 也 适用 于 符合 802.11 标准 的 WLAN， 于 是 被 视 为 是 无 线 局 域 网 增强 网 络 
安全 的 一 种 解决 方案 。802.1x 认证 的 体系 结构 如 图 5-9 所 示 。 

IEEE 802.1x 认证 的 体系 结构 从 安全 协议 的 角度 可 视 为 包括 3 个 实体 : 请 求 者 系统 
(Supplicant System)、 认 证 者 系统 (Authenticator System) 和 认证 服务 器 系统 (Authentication 
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从 网 络 的 角度 则 称 网 络 访问 的 核心 部 分 是 PAE(Port Access Entity， 端 口 访问 实体 )。 在 
整个 认证 (访问 控制 ) 流 程 中 ， 端 口 访问 实体 包含 3 部 分 : 认证 者 ， 即 对 接 入 的 用 户 / 设 备 进 
行 认证 的 端口 ;请 求 者 ， 即 被 认证 的 用 户 /设备 ; 认证 服务 器 ， 即 根据 认证 者 的 信息 ， 对 请 
求 访问 网 络 资源 的 用 户 / 设 备 进行 实际 认证 功能 的 设备 。 非 正式 地 说 ， 认 证 者 其 实 是 请 求 者 
和 认证 服务 器 之 间 的 中 介 。 

(1) 请 求 者 系统 (也 称 为 客户 端 系统 ): 一 般 为 一 个 用 户 终端 系统 (如 笔记 本 电脑 )， 安 装 
有 一 个 客户 端 软件 ， 用 户 通过 启动 这 个 客户 端 软件 发 起 IEEE 802.1x 协议 的 认证 过 程 。 为 了 
支持 基于 端口 的 接 入 控制 ,请 求 者 系统 必须 支持 基于 局 域 网 (本 节 指 WLAN) 的 扩展 认证 协议 
(Extensible Authentication Protocol over LAN，EAPoL)， 本 节 指 EAPoWLAN。 

(2) 认证 者 系统 (也 称 为 认证 系统 ): 在 无 线 局 域 网 中 就 是 无 线 接 入 点 AP( 局 域 网 中 是 交 
换 机 )， 是 支持 IEEE 802.1x 协议 的 网 络 设备 。 在 认证 过 程 中 只 起 到 转发 的 功能 ， 所 有 实质 
性 认证 工作 在 请 求 者 和 认证 服务 器 系统 上 完成 。 

(3) 认证 服务 器 系统 : 为 认证 者 提供 认证 服务 的 实体 ， 多 采用 远程 身份 验证 拨 入 用 户 
服务 (Remote Authentication Dial In User Service，RADIUS)。 认 证 服务 器 对 请 求 方 进行 认证 ， 
然后 通知 认证 者 系统 这 个 请 求 者 是 否 为 授权 用 户 。 

IEEE 802.1x 认证 协议 是 一 种 基于 端口 的 对 请 求 者 进行 认证 的 方法 和 策略 。 通 常 将 物理 
端口 分 为 两 个 虚拟 端口 : 非 受 控 端口 (Uncontrolled Port) 和 受 控 端口 (Controlled Port)。 非 受 控 
端口 始终 处 于 双向 连通 状态 (开放 状态 ), 主要 用 来 传递 认证 信息 ,如 EAPoWLAN 协议 帧 ( 即 
把 EAP 包 封装 在 WLAN 上 )， 可 保证 随时 接收 请 求 者 发 出 的 认证 请 求 报 文 。 受 控 端 口 的 联 
通 或 断 开 是 由 该 端口 的 授权 状态 决定 的 。 认 证 者 的 PAE 是 根据 认证 服务 器 认证 过 程 的 结果 ， 
控制 受 控 端口 的 状态 : 授权 (认证 、 开 放 ) 状 态 或 者 未 授权 (未 认证 、 关 闭 ) 状 态 。 受 控 端 口 平 
时 处 于 关闭 状态 ， 只 有 在 请 求 者 通过 认证 后 才 打 开 ， 为 通过 认证 验证 的 用 户 传递 数据 和 提 
供 服务 。 如 果 请 求 者 未 通过 认证 ， 则 受 控 端 口 处 于 未 认证 ( 即 关闭 ) 状 态 ， 请 求 者 无 法 访问 网 
络 服务 和 资源 。 通 过 受 控 端口 与 非 受 控 端 口 的 划分 ， 分 离 了 认证 数据 和 业务 数据 ， 提 高 了 
系统 的 接 入 管理 和 接 入 服务 的 工作 效率 。 

在 认证 时 ， 请 求 者 通过 非 受 控 端 口 和 AP( 认 证 者 ) 交 互 数 据 ， 请 求 者 和 认证 者 之 间 传 送 
EAPoWLAN 协议 帧 ， 认 证 者 和 认证 服务 器 同样 运行 EAP 协议 ， 认 证 者 将 EAP 封装 到 其 他 
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高 层 协议 中 (如 RADIUS) 以 便 EAP 协议 穿越 复杂 的 网 络 到 达 认 证 服务 器 ， 称 为 EAP over 
RADIUS(EAPoR)。 若 请 求 者 通过 了 认证 ， 则 AP 为 请 求 者 打开 一 个 受 控 端 口 ， 请 求 者 可 通 
过 受 控 端 口传 输 各 种 类 型 的 数据 帧 (如 HTTP、POP3)。 

2) IEEE 802.1x 协议 的 认证 过 程 

IEEE 802.1x 协议 实际 上 是 一 个 可 扩展 的 认证 框架 ， 并 没有 规定 具体 的 认证 协议 ， 具 体 
采 用 什么 认证 协议 可 由 用 户 自行 配置 ， 因 此 具有 较 好 的 灵活 性 。 具 体 过 程 如 下 。 

(1) 请 求 者 向 认证 者 发 送 EAPoWLAN-Start 帧 ， 启 动 认证 流程 。 

(2) 认证 者 发 出 请 求 ， 要 求 请 求 者 提供 相关 身份 信息 。 

(3) 请 求 者 回应 认证 者 的 请 求 ， 将 自己 的 相关 身份 信息 发 送 给 认证 者 。 

(4) 认证 者 将 请 求 者 的 身份 信息 封装 至 Radius-Access-Request 帧 中 ， 发 送 至 AS。 

(5) RADIUS 服务 器 验证 请 求 者 身份 的 合法 性 ， 在 此 期 间 可 能 需要 多 次 通过 认证 者 与 
请 求 者 进行 信息 交互 。 

(6) RADIUS 服务 器 告知 认证 者 认证 结果 。 

(7) 认证 者 向 请 求 者 发 送 认 证 结果 ， 如 果 认证 通过 ， 那 么 认证 者 将 为 请 求 者 打开 一 个 
受 控 端口 ， 允 许 请 求 者 访问 认证 者 所 提供 的 服务 ， 反 之 ， 则 拒绝 请 求 者 的 访问 。 

扩展 认证 协议 EAP 是 一 种 封装 协议 ， 在 具体 应 用 中 可 以 选择 EAP-TLS、EAP-MD5、 
EAP-SIM、EAP-TTLS、EAP-AKA 等 任何 一 种 认证 协议 。 不 同 的 具体 认证 协议 具有 不 同 的 
安全 性 。 其 中 ，EAP-TLS 以 数字 证 书 作 为 凭证 相互 认证 ， 是 EAP 种 类 中 唯一 基于 非 对 称 密 
码 的 认证 方式 ， 消 息 交 换 可 以 提供 远程 VPN 客户 端 和 验证 程序 之 间 的 相互 身份 验证 、 加 密 
方法 的 协商 和 加 密 密 钥 的 确定 ， 提 供 了 最 强大 的 身份 验证 和 密 钥 确定 方法 ，EAP-SIM 以 移 
动 电话 的 SIM 卡 (用 户 识别 模块 卡 ) 进 行 身 份 验证 。 

3) IEEE 802.1x 认证 的 特点 

IEEE 802.1x 协议 能 适应 现代 无 线 网 络 用 户 数量 急剧 增加 和 业务 多 样 性 的 要 求 ， 具 有 以 
下 优点 。 

(1) 协议 实现 简单 。IEEE 802.1x 协议 为 两 层 协议 ， 不 需要 到 达 第 三 层 ， 因 而 对 设备 的 
整体 性 能 要 求 不 高 ， 可 有 效 降 低 建 网 成 本 ， 而 且 不 需要 进行 协议 间 的 多 层 封装 ， 去 除了 不 
必要 的 开销 和 宛 余 。 采 用 802.1x 方式 ， 用 户 可 用 有 线 网 络 的 速度 进行 工作 ， 一 台 服 务 器 能 
够 在 多 个 接 入 点 之 间 处 理 多 达 20 000 个 用 户 的 认证 。 同 时 ， 网 络 综合 造价 成 本 低 ， 保 留 了 
传统 AAA 认证 的 网 络 架构 ， 可 以 利用 现 有 的 RADIUS 设备 。 

(2) 业务 灵活 。IEEE 802.1x 的 认证 体系 结构 中 采用 了 受 控 端口 和 非 受 控 端 口 的 逻辑 功 
E， 用 户 通 过 认证 后 ， 业 务 流 和 认证 流 实现 分 离 ， 通 过 认证 后 的 数据 包 是 不 需要 封装 的 纯 
数据 包 ， 通 过 受 控 端 口 进 行 交换 ， 因 而 业务 可 以 很 灵活 (尤其 在 开展 宽带 组 播 等 业务 时 有 很 
大 的 优势 )， 易 于 支持 多 业务 和 新 兴 流 媒体 业务 。 

(3) 安全 可 靠 。 具体 表现 在 如 下 几 个 方面 。 

@ ”用 户 身份 识别 取决 于 用 户 名 、 口令、 数字 证 书 等 ， 而 不 是 MAC 地址， 从 而 可 实现 

基于 用 户 的 认证 、 授 权 和 计 费 。 

@ ”支持 可 扩展 的 认证 、 非 口令 认证 ,如 公 钥 证 书 和 智能 卡 、 互 联网 密 钥 交换 协议 (KE)、 

生物 测定 学 、 信 用 卡 等 ， 同 时 也 支持 口令 认证 ， 如 一 次 性 口令 认证 、 通 用 安全 服 
务 应 用 编程 接口 方法 (包括 Kerberos 协议 )。 
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@ ”协议 的 有 些 版 本 支持 双向 认证 ， 可 有 效 防 止 中 间 人 攻击 和 假冒 接 入 点 AP， 还 可 防 
范 地 址 欺骗 攻击 、 目 标识 别 和 拒绝 服务 攻击 等 ， 并 支持 针对 每 个 数据 包 的 认证 ( 完 
整 性 保护 )， 可 以 在 不 改变 网 络 接口 卡 的 情况 下 ， 插 入 新 的 认证 (以 及 密 钥 管理 ) 
方法 。 

@ 与 PPPoE 和 Web/Portal 认证 方式 相 比 ， 消 除了 网 络 瓶颈 ， 减 轻 了 网 络 封装 开销 ， 
降低 了 建 网 成 本 。 在 PPPoE 认证 中 ， 认 证 系统 必须 将 每 个 包 进行 拆 解 才能 判断 和 
识别 用 户 是 否 合法 ， 一 旦 用 户 增多 或 数据 包 增 大 ， 封 装 速度 就 成 为 网 络 瓶颈 ， 大 
量 的 拆 包 和 封包 过 程 导致 设备 昂贵 。 Web/Portal 认证 是 基于 业务 类 型 的 认证 , 需要 
安装 浏览 器 才能 完成 ， 且 是 应 用 层 认证 ， 认 证 连接 性 差 ， 不 容易 检测 用 户 离线 ， 
基于 时 间 的 计 费 难以 实现 。 

当 无 线 终端 与 AP 关联 后 , 是否 可 以 使 用 AP 的 服务 要 取决 于 802.1x 的 认证 结果 。 如 果 

认证 通过 ， 则 AP 为 用 户 打 开 这 个 逻辑 端口 ， 否 则 不 允许 用 户 接 入 网 络 。 

对 验证 服务 器 与 AP 之 间 的 数据 通信 进行 加 密 处 理 ， 将 802.11 与 RADIUS 服务 器 和 
802.1x 标准 相 结合 ， 除 了 可 以 为 WLAN 提供 认证 和 加 密 这 两 项 安全 措施 外 ， 还 可 提供 密 钥 
管理 功能 ， 快 速 重 置 密 钥 ， 使 用 802.1x 周期 性 地 把 这 些 密 钥 传送 给 各 相关 用 户 ， 而 这 正 是 
802.11 所 缺乏 的 。 


3. IEEE 802.11i 接 入 协议 


IEEE 802.11i 是 802.11 工作 组 为 新 一 代 WLAN 制定 的 安全 标准 ， 主 要 包括 加 密 技术 
TKIP(Temporal Key Integrity Protocol)、AES(Advanced Encryption Standard) 以 及 认证 协议 
IEEE 802.1x。 在 认证 方面 ，IEEE 802.1u 采用 802.1x 接 入 控制 ， 实 现 无 线 局 域 网 的 认证 与 密 
钥 管理 ， 并 通过 EAP-Key 的 四 向 握手 过 程 与 组 密 钥 握 手 过程， 创建 、 更 新 加 密 密 钥 ， 实 现 
802.11i 中 定义 的 鲁 棒 安 全 网 络 (Robust Security Network，RSN) 的 要 求 。 

1) IEEE 802.11i 接 入 协议 

针对 IEEE 802.11 WEP 安全 机 制 所 暴露 出 的 安全 隐患 , IEEE 802 工作 组 于 2004 年 年 初 
发 布 了 新 一 代 安 全 标准 IEEE 802.11i( 也 称 为 WPA2，WiFi Protected Access， 以 及 RSN， 
Robust Security Network). 

首先 该 协议 将 IEEE 802.1x 协议 引入 到 WLAN 安全 机 制 中 ,增强 了 WLAN 中 身份 认证 
和 接 入 控制 的 能 力 ， 其 次 ， 增 加 了 密 钥 管 理 机 制 ， 可 以 实现 密 钥 的 导出 及 密 钥 的 动态 协商 
和 更 新 等 ， 大 大 增强 了 安全 性 。IEEE 802.11i 提出 了 两 种 加 密 机 制 ，TKIP 协议 和 CCMP 协 
议 (Counter Mode/CBC-MAC Protocol)。TKIP 是 一 种 临时 过 渡 性 的 可 选 方案 ， 兼 容 WEP 设 
备 , 可 在 不 更 新 硬件 设备 的 情况 下 升级 至 IEEE 802.11i; 而 CCMP 机 制 则 完全 废除 了 WEP， 
采用 加 密 算法 AES 来 保障 数据 的 安全 传输 , 但 是 AES 对 硬件 要 求 较 高 , CCMP 无 法 在 现 有 
设备 的 基础 上 通过 直接 升级 来 实现 (需要 更 换 硬件 设备 ), 它 是 IEEE 802.11i 机 制 中 要 求 必须 
实现 的 安全 机 制 ， 是 802.11i 的 关键 技术 。 

另外 ， 在 802.11i 制定 的 TKIP 作为 过 渡 期 间 ， 对 迫切 需要 解决 安全 问题 的 商家 和 用 户 
而 言 ， 标 准 的 批准 滞后 是 无 法 容忍 的 ， 于 是 WiFi 联盟 推出 了 WPA。WPA 不 是 一 个 正式 的 
标准 ， 只 是 过 渡 到 802.11i 的 中 间 标 准 。 

下 面 介绍 IEEE 802.11i 接 入 机 制 ， 以 及 IEEE 802.11i 加 密 机 制 TKIP 和 CCMP。 
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2) IEEE 802. 11i 的 接 入 流程 

IEEE 802.1h 协议 接 入 流程 一 般 包括 发 现 、 认 证 和 密 钥 协商 三 个 阶段 ， 其 中 每 个 阶段 又 
由 若干 子 步骤 组 成 ， 共 同 实现 IEEE 802.11i 的 协议 功能 。 

具体 接 入 流程 如 下 。 

(1) 发 现 阶段 。STA 启动 后 , 通过 被 动 侦 听 AP 发 送 的 信 标 帧 , 或 主动 发 出 探寻 请 求 来 
检测 周围 是 否 有 可 以 接 入 的 AP 并 获取 相关 安全 参数 。 若 检测 到 多 个 可 选 的 AP， 就 选 其 中 
一 个 , 与 该 AP 进行 认证 和 关联 。 该 阶段 的 认证 方式 包括 两 种 , 即 开放 认证 和 共享 密 钥 认证 ， 
其 中 共享 密 钥 认 证 为 可 选 认证 方法 。 该 阶段 的 认证 不 可 靠 ， 需 要 在 后 续 过 程 中 强化 。 

(2) 认证 阶段 。IEEE 802.11i 协议 引入 IEEE 802.1x 协议 进行 认证 ， 目 的 是 在 发 现 阶段 
构建 的 关联 和 不 可 靠 认 证 的 基础 上 ,利用 IEEE 802.1x 协议 强化 身份 认证 ， 确 保 对 网 络 资源 
的 访问 是 合法 的 。EAP-TLS 是 一 种 双向 认证 机 制 ， 也 是 目前 802.11i 的 默认 认证 协议 。 同 时 
在 该 阶段 ,在 STA 和 AS 间 生 成 成 对 主 密 钥 (Pairwise Master Key,PMK),PMK 为 IEEE 802.11i 
协议 密 钥 建立 体系 的 基础 ，PMK 从 AS 安全 传递 至 AP。 

(3) 密 钥 协商 阶段 。 密 钥 协商 阶段 包括 进行 单 播 密 钥 协商 的 四 步 握手 协议 和 进行 组 播 
密 钥 握手 协议 。 该 阶段 的 目的 是 在 生成 PMK 的 基础 上 ， 导 出 单 播 密 钥 和 组 播 密 钥 ， 保 护 后 
续 数据 的 安全 传输 。 

3) ” 密 钥 协商 协议 与 密 钥 管 理 

早期 的 EAP 消息 交换 使 得 在 STA 和 AP 之 间 建 立 了 PMK, 所 谓 成 对 (Pairwise) 密 钥 ， 是 
因为 它 在 STA 和 AP 间 共 享 ; 所 谓 主 (Master) 密 钥 ， 是 因为 它 不 直接 用 于 消息 加 密 或 完整 性 
保护 ， 而 是 从 PMK 生成 加 密 密 钥 和 完整 性 密 钥 。 更 确切 地 说 ，STA 和 AP 均 从 PMK 导出 
四 个 密 钥 : 数据 加 密 密 钥 TK(Temporal Key, 16 字 节 )、 数据 完整 性 密 钥 MICKey(AP 和 STA 
各 8 字 节 )、 密 钥 加 密 密 钥 KEK(16 字 节 )、 密 钥 完 整 性 密 钥 KCK(16 字 节 )， 这 四 个 密 钥 一 起 
称 为 PTK(Pairwise Transient Key， 成 对 临时 密 钥 。AES-CCMP 中 利用 相同 的 密 钥 进行 数据 
加 密 和 完整 性 保护 ,因此 在 AES-CCMP 中 ,PTK 仅 由 三 个 密 钥 组 成 )。 此外， 从 PMK 导出 
的 PTK 与 AP 和 STA 的 MAC 地 址 以 及 双方 产生 的 随机 数 Nonce 有 关 。PTK 由 密码 学 安全 
的 Hash 函数 产生 ， 其 输入 参数 是 APNonce(ANonce)、STANonce(SNonce)、AP MAC 地 址 
以 及 STA MAC 地 址 的 连接 (Concatenation)。 

STA 和 AP 交换 各 自 随机 数 使 用 的 协议 称 为 四 路 握手 协议 (Four-way Handshaking 
Protocol)。 此 协议 向 对 方 证 明 自 己 拥有 PMK， 并 生成 PTK。 四 路 握手 协议 的 描述 如 下 。 

(1) AP 发 送 其 随机 数 ANonce 给 STA。 当 STA 收 到 ANonce 后 ， 可 计算 出 PTK。 

(2) STA 发 送 其 随机 数 SNonce 给 AP。 此 消息 携带 一 个 消息 完整 码 MIC, 由 STA 使 用 
刚刚 计算 的 PTK 中 的 密 钥 完整 性 密 钥 计 算 而 来 。 接 收 该 随机 数 后 ，AP 可 计算 出 PTK。 因 
此 ,AP 可 利用 计算 出 的 PTK 中 的 密 钥 完整 性 密 钥 验证 MIC。 如 果 认 证 成 功 , 则 AP 相信 STA 
拥有 PMK。 

(3) AP 发 送 一 个 包含 MIC 的 消息 给 STA。MIC 由 PTK 的 密 钥 完整 性 密 钥 计算 得 来 。 
如 果 STA 验证 MIC 通过 ， 则 其 相信 AP 也 拥有 PMK。 该 消息 包含 序列 号 以 检测 重 放 攻 击 。 
此 消息 告知 STA，AP 已 经 准备 好 加 密 所 有 数据 包 的 密 钥 。 

(4) STA 确认 接收 到 第 三 个 消息 。 该 确认 也 意味 着 STA 准备 好 加 密 所 有 数据 包 。 

一 旦 得 到 PTK， 则 STA 和 AP 之 间 的 数据 包 将 得 到 数据 加 密 密 钥 和 数据 完整 性 密 钥 的 




















〖 革 ;57 部 ZEEEESERRZ | 川 川 川 川 加 


保护 。 然 而 ， 这 些 密 钥 不 能 用 于 保护 由 AP 发 送 的 广播 消息 。 保 护 广 播 消 息 的 密 钥 必须 被 所 
有 STA 和 AP 已 知 ， 因 此 AP 产生 额外 的 组 密 钥 称 为 GTK(Group Temporal Key， 组 播 临时 
密 钥 )。GTK 包含 一 个 组 播 加密 密 钥 和 组 播 完整 性 密 钥 ， 并 且 将 用 其 给 STA 的 密 钥 加 密 密 
钥 加 密 ， 然 后 分 别 发 送 给 每 一 个 STA。 

容易 看 到 ，IEEE 802.11i 接 入 协议 是 典型 的 认证 密 钥 协商 AKA 协议 。 另 外 ， 由 成 对 主 
密 钥 PMK 导出 后 续 的 会 话 加 密 密 钥 和 数据 完整 性 密 钥 的 方法 是 一 种 典型 的 密 钥 分 层 管理 方 
法 。 密 钥 的 分 层 管理 可 提高 密 钥 的 安全 性 ( 抗 密 钥 泄露 的 健壮 性 )， 在 安全 设计 中 很 常见 。 

4) IEEE 802.11i 的 TKIP 和 CCMP 协议 

(1) TKIP 加 密 机 制 。TKIP 协议 是 IEEE 802.11i 标准 采用 的 过 渡 安全 解决 方案 , 它 可 以 
在 不 更 新 硬件 设备 的 情况 下 ， 通 过 软件 升级 实现 安全 性 的 提升 。TKIP 与 WEP 一 样 都 是 基 
于 RC4 加 密 算法 , 但 是 为 了 增强 安全 性 ,初始 化 向 量 IV 的 长 度 由 24 位 增加 到 48 位 ， 并 称 
之 为 TSC(TKIP Sequence Counter)， 同 时 对 WEP 协议 进行 了 改进 ， 新 引入 了 4 种 机 制 来 提 
升 安全 性 。 

@ ”防止 出 现 弱 密 钥 的 单 包 密 钥 (Per-PacketKey，PPK) 生 成 算法 。 

@ ”使 用 Michael 算法 防止 数据 遭 非法 算 改 的 消息 完整 性 校 验 码 。 

@ ”防止 重 放 攻 击 的 具有 48 位 序列 号 功能 的 IV( 即 TSC)。 

@ 可 生成 新 鲜 的 加 密 和 完整 性 密 钥 ， 防 止 IV 重用 的 再 密 钥 (Rekeying) 机 制 。 

TKIP 的 加 密 过 程 如 图 5-10 所 示 ， 包 括 以 下 几 个 步骤 (与 802.11 MAC 帧 结构 有 关 )。 

@ MAC 协议 数据 单元 (Medium Access Control Protocol Data Unit，MPDU) 的 生成 。 

@ ”WEP 种 子 的 生成 。 

@ WEP 封装 (WEP Encapsulation)。 
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5-10 ”TKIP 加 密 过 程 


(2) CCMP 加 密 机 制 。 由 于 序列 密码 RC4 算法 并 不 安全 , 于 是 考虑 采用 分 组 密码 算法 。 
AES 是 美国 NIST 制定 的 用 于 取代 DES 的 分 组 加 密 算法 ，CCMP 是 基于 AES 的 CCM 模式 
(Counter Mode/CBC-MAC Mode)， 完 全 取代 了 原 有 WEP 加密， 能 够 解决 WEP 加 密 中 的 不 
足 , 可 以 为 WLAN 提供 更 好 的 加 密 、 认 证 、 完整 性 和 抗 重 放 攻 击 的 能 力 , 是 IEEE 802.11i 中 
强制 要 求实 现 的 加 密 方式 ， 同 时 也 是 正 EE 针对 WLAN 安全 的 长 远 解决 方案 。CCMP 加 密 
过 程 如 图 5-11 所 示 。 
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图 5-11 CCMP 加 密 过 程 


Q@ ”为 保证 每 个 MPDU 都 具有 新 鲜 的 包 号 码 (Packet Number，PN)， 增 加 PN 值 ， 使 得 
每 个 MPDU 对 应 一 个 新 的 PN， 这 样 即使 对 于 同样 的 临时 密 钥 ， 也 不 会 出 现 相同 的 PN。 

@ 用 MPDU 头 的 各 字段 为 CCM 生成 附加 鉴别 数据 (Additional Authentication Data， 
AAD)，CCM 为 AAD 的 字段 提供 完整 性 保护 。 

@@ 用 PN、A2 和 MPDU 的 优先 级 字段 计算 出 CCM 使 用 一 次 的 随机 数 (Nonce)。 其 中 
A2 表示 地 址 2， 优先 级 字段 作为 保留 值 设 为 0。 

@ 用 PN 和 KeyId 构 建 8 字 节 的 CCMP 头 。 

@ 由 TK、AAD、Nonce 和 MPDU 数据 生成 密 文 ， 并 计算 MIC 值 。 最 终 的 消息 由 
MAC 头 、CCMP 头 、 加 密 数 据 以 及 MIC 连接 而 成 。 

(3) WEP、TKIP 和 AES-CCMP 的 比较 。TKIP 与 AES-CCMP 都 是 用 数据 加 密 和 数据 
完整 性 密 钥 保 护 STA 与 AP 之 间 传 输 数 据 包 的 完整 性 及 保密 性 。 然 而 ， 它 们 使 用 了 不 同 的 
密码 学 加 密 算法 。TKIP 与 WEP 一 样 使 用 RC4, 但 是 与 WEP 不 同 的 是 ， 它 提供 了 更 多 的 安 
全 性 。 TKIP 的 优势 为 通过 固件 升级 , 可 在 旧 WEP 硬件 上 运行 。 AES-CCMP 使 用 AES 算法 ， 
需要 支持 AES 算法 的 新 硬件 ， 但 与 TKIP 相 比 ， 提 供 了 一 个 更 清晰 、 更 健壮 的 解决 方案 。 
TKIP 修复 WEP 中 的 缺陷 包括 以 下 几 项 。 

中 完整 性 。TKIP 引进 了 一 种 新 的 完整 性 保护 机 制 ， 使 用 Michael 算法 。Michael 算法 
运行 在 服务 数据 单元 (SDU) 层 ， 可 在 设备 驱动 程序 中 实现 。 

@ ”检测 重 放 攻 击 。TKIP 使 用 新 IV 机 制 (TSC) 作 为 序列 号 。TSC 初始 化 后 ， 每 发 送 一 
个 消息 后 自 增 。 接 收 者 记录 最 近 接收 消息 的 TSC。 如 果 最 新 接收 消息 的 TSC 值 小 于 存储 的 
最 小 TSC 值 ， 则 接收 者 扔 掉 此 消息 ， 如 果 TSC 大 于 存储 的 最 大 TSC 值 ， 则 保留 此 消息 ， 
并 且 更 新 其 存储 的 TSC 值 ; 如 果 刚 收 到 消息 的 TSC 值 介 于 最 大 值 和 最 小 值 之 间 ， 则 接收 者 
检查 TSC 是 否 已 经 存储 ， 如 果 有 记录 ， 则 扔 掉 此 消息 ， 否 则 ， 保 留 此 消息 ， 并 且 存 储 新 的 
TSC: 

图 保密 性 。WEP 加 密 的 主要 问题 为 IV 空间 太 小 ， 并 且 没 有 考虑 RC4 中 存在 的 弱 密 
钥 。 为 了 克服 第 一 个 问题 ， 在 TKIP 中 ，IV 从 24 位 增加 至 48 位 。 由 于 WEP 硬件 仍然 期 望 
一 个 128 位 的 WEP 种 子 ( 单 包 加 密 密 钥 )， 因 此 48 位 IV 与 128 位 TK 混合 完 后 必须 用 某 种 
方式 压缩 为 128 位 。 对 弱 密 钥 问题 ， 由 于 TKIP 中 单 包 加 密 密 钥 都 不 相同 (因为 RC4 密 钥 不 
同 ， 以 及 IV 低 16 位 不 同 )， 因 此 攻击 者 不 能 观察 到 具有 使 用 相同 密 钥 的 足够 数量 的 消息 。 
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因为 不 必 为 兼容 WEP 硬件 所 束缚 ，AES-CCMP 的 设计 要 比 TKIP 简单 。 它 放弃 RC4， 
使 用 AES 分 组 加 密 ， 并 定义 了 一 个 新 工作 模式 ， 称 为 CCM。CCM 由 两 种 工作 模式 结合 
来 : CTR 加 密 模式 和 CBC MAC 模式 .在 CCM 模式 中 , 消息 发 送 方 计算 出 消息 的 CBC MAC 
值 , 并 将 其 附加 到 消息 上 面 , 然后 将 其 用 CTR 模式 加 密 。 CCM 模式 确保 了 保密 性 和 完整 性 。 
重 放 攻 击 检测 由 消息 的 序列 号 来 保证 ， 通 过 将 序列 号 加 入 到 CBC MAC 计算 的 初始 块 中 来 
完成 。 

通过 上 述 比较 ， 可 体会 到 安全 工程 设计 中 往往 需要 考虑 非 技术 因素 (如 前 向 兼容 性 等 经 
济 成 本 因素 )， 同 时 利用 MAC 帧 格式 中 的 字段 作为 影响 密 钥 生成 的 因素 也 是 工程 设计 中 的 
特点 之 一 (充分 利用 应 用 环境 的 上 下 文 作 为 安全 设计 的 关联 因素 )。 


4. WAPI 协议 


1) ”WAPI 协议 概述 

针对 IEEE 802.11 WEP 安全 机 制 的 不 足 ，2003 年 我 国 也 提出 了 一 个 无 线 局 域 网 安全 标 
准 (Wireless LAN Authentication and Privacy Infrastructure，WAH， 无 线 局 域 网 认证 和 保密 基 
础 结构 )， 这 也 是 我 国 首 个 在 无 线 网 络 通信 领域 自主 创新 并 拥有 知识 产权 的 安全 接 入 技术 标 
准 ， 是 我 国 首 个 无 线 通信 网 络 安全 领域 的 国际 标准 (SOTECJTCLSC6 会 议 上 通过 )， 有 具有 重 
要 的 历史 意义 和 战略 影响 。WAPI 由 WAI(WLAN Authentication Infrastructure， 认 证 基础 结 
构 ) 和 WPI(WLAN Privacy Infrastructure， 隐 私 基础 结构 ) 两 部 分 组 成 '， WAI 和 WPI 分 别 实现 
对 用 户 身 份 的 鉴别 和 对 传输 数据 的 加 密 。 

WAI 认证 结构 其 实 类 似 于 IEEE 802.1x 结构 , 也 是 基于 端口 的 认证 模型 。 采 用 公开 密 钥 
密码 体制 ， 利 用 数字 证 书 (独立 设计 的 数据 结构 ， 不 兼容 X.509 证 书 格 式 ) 来 对 WLAN 系统 
中 的 STA 和 AP 进行 认证 。WAI 定义 了 一 种 名 为 ASU(Authentication Service Unit， 认 证 服 
务 单 元 ) 的 实体 ， 用 于 管理 参与 信息 交换 各 方 所 需要 的 证 书 ( 包 括 证 书 的 产生 、 颁 发 、 吊 销 和 
更 新 )， 相 当 于 PKI 中 的 CA 的 角色 。 通 常 ASU 的 物理 形态 为 认证 服务 器 (Authentication 
Server)，AS 逻辑 上 包含 了 ASU 的 功能 。 证 书 里 包含 有 证 书 持 有 者 的 标识 、 公 钥 和 证 书 颁 
发 者 (ASU) 的 签名 (这 里 的 签名 采用 的 是 国家 商用 密码 管理 办 公 室 颁布 的 椭圆 曲线 数字 签名 
算法 )， 证 书 是 网 络 设备 的 数字 身份 凭证 。 

整个 系统 由 移动 终端 (STA)、 接 入 点 (AP) 和 认证 服务 器 (AS) 组 成 ， 其 中 AS 含有 ASU 可 
信 第 三 方 ， 用 于 管理 消息 交换 中 所 需要 的 数字 证 书 。AP 提供 STA 连接 到 AS 的 端口 ( 即 非 
受 控 端 口 ), 确保 只 有 通过 认证 的 STA 才能 使 用 AP 提供 的 数据 端口 ( 即 受 控 端口 ) 访 问 网 络 。 

WAPI 整个 过 程 由 证 书 鉴 别 、 单 播 密 钥 协商 和 组 播 密 钥 通告 ( 合 称 密 钥 协商 阶段 ) 三 部 分 
组 成 。 

证 书 鉴别 阶段 中 ，STA、AP 提交 各 自 证 书 给 AS，AS 验证 它们 的 有 效 性 后 返回 鉴别 响 
应 。STA 和 AP 验证 AS 对 响应 消息 的 数字 签名 ， 获 得 验证 结果 ， 并 认证 AS 的 合法 性 。 在 
WAI 协议 中 ，STA、AP 无 须 下 载 证 书 列表 或 在 线 验证 证 书 状 态 ， 由 AS 统一 进行 证 书 有 效 
性 验证 ， 同 时 AS 担当 STA、AP 等 实体 证 书 发 放 、 撤 销 和 管理 工作 ， 这 种 简化 的 集中 化 管 
理 ， 无 须 额外 的 权威 授权 中 心 CA， 架 构 设 计 非 常 简单 。 

下 面 介绍 具体 的 过 程 。 为 了 简便 ， 倒 述 中 将 As 和 ASU 等 同 对 待 。 

2) ”证 书 鉴别 过 程 

(1) 鉴别 激活 。 当 STA 关联 至 AP 时 ， 由 AP 向 STA 发 送 鉴 别 激活 以 启动 整个 鉴别 
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(2) 接 入 鉴别 请 求 。STA 向 AP 发 出 接 入 鉴别 请 求 ,即将 STA 证 书 与 STA 当前 系统 时 
间 一 同 发 送 给 AP。 

(3) 证 书 鉴 别 请 求 。AP 收 到 STA 接 入 鉴别 请 求 后 ， 首 先 记 录 鉴 别 请 求 时 间 ， 然 后 向 
AS 发 出 证 书 鉴别 请 求 ， 即 将 STA 证 书 、 接 入 鉴别 请 求 时 间 、AP 证 书 以 及 AP 的 私 钥 对 它 
们 的 签名 ， 组 成 证 书 鉴别 请 求 发 送 给 AS。 

(4) 证 书 鉴别 响应 , AS 收 到 AP 的 证 书 鉴别 请 求 后 , 验证 AP 的 签名 和 AP 证 书 的 有 效 
性 ， 若 不 正确 ， 则 鉴别 过 程 失 败 ， 否 则 进一步 验证 STA 证 书 ， 验 证 完毕 后 ，AS 将 STA 证 
书 和 STA 证 书 鉴 别 结果 、AP 证 书 和 AP 证 书 鉴别 结果 ， 以 及 ASU 对 它们 的 签名 ， 组 成 证 
书 鉴 别 响应 发 回 给 AP。 

(5) 接 入 鉴别 响应 。AP 验证 AS 返回 的 证 书 鉴别 响应 的 签名 ， 得 到 STA 证 书 的 鉴别 结 
果 ， 根 据 此 结果 对 STA 进行 接 入 控制 ， 从 而 完成 对 STA 的 认证 ，AP 将 收 到 的 证 书 鉴 别 响 
应 回 送 至 STA。STA 验证 ASU 的 签名 后 ， 得 到 AP 证 书 的 鉴别 结果 ， 根 据 该 鉴别 结果 决定 
是 否 接 入 该 AP， 从 而 完成 对 AP 的 认证 。 

至 此 ，STA 与 AP 之 间 完 成 了 认证 过 程 。 容 易 看 到 ， 该 认证 方法 是 基于 公 钥 密码 学 在 可 
信 第 三 方 存在 条 件 下 的 双向 认证 协议 。 也 就 是 说 ，WAPI 中 STA 和 AP 的 双向 认证 其 实 是 
指 通过 可 信 第 三 方 AS 的 认证 。 当 STA 关联 AP 时 ，AP 和 STA 的 证 书 都 要 被 AS 来 鉴别 。 
只 有 鉴别 成 功 ，AP 才 人 允许 STA 接 入 ， 同 时 STA 也 才 允 许 通过 该 AP 收发 数据 。 这 种 认证 
对 于 采用 假 AP 的 攻击 方式 具有 很 强 的 抵御 能 力 。 这 种 认证 其 实 也 实现 了 AS 与 STA、AS 
与 AP 的 双向 认证 (严格 意义 上 讲 , WAPI 中 的 这 种 认证 只 是 对 证 书 真实 性 的 鉴别 , 而 不 是 对 
证 书 所 有 者 的 认证 。 WAPI 标准 没有 被 称 为 实体 认证 是 恰当 的 , 其实 WAPI 并 没有 完全 实现 
对 STA 的 认证 )。 认 证 完成 后 ，AP 向 STA 发 送 密 钥 协商 请 求 ， 分 组 开始 与 STA 协商 单 播 
密 钥 。 

WAH 在 认证 方面 ( 即 WAD 具 有 以 下 几 个 重要 特点 : 具有 自主 知识 产权 ; 完整 的 STA 
和 AP 双向 认证 ; 协议 交换 消息 少 ， 通 信 效 率 高 ; 集中 式 或 分 布 集中 式 认 证 管理 : 灵活 多 样 
的 证 书 管理 与 分 发 体制 ， 可 支持 多 证 书 ， 方 便 用 户 多 处 使 用 ， 充 分 保证 其 漫游 功能 ， 认 证 
服务 单元 易 扩 充 ， 支 持 用 户 的 异地 接 入 。 
WAI 仍然 存在 着 一 些 不 完善 之 处 。 例 如 ，STA 将 自己 的 证 书 以 明文 形式 发 送 给 AP 及 
AS， 因 而 会 暴露 用 户 的 身份 信息 ， 无 法 实现 认证 时 的 匿名 性 。 另 外 ，AP 和 AS 都 易 成 为 计 
算 瓶 颈 及 易 遭 受 拒 绝 服务 。 尤 其 需要 注意 的 是 ,实际 上 有 可 能 没有 认证 STA 本 身 (只 鉴别 了 
STA 证 书 的 合法 性 )。 下 面 简要 说 明 一 下 。 
因为 AS 验证 了 AP 的 签名 ， 因 此 AP 的 合法 性 可 保证 。AP 和 STA 也 验证 了 AS 的 签 
名 ，AS 的 合法 性 可 保证 。 但 是 AS 只 验证 了 STA 的 证 书 合法 性 ， 因 此 ，STA 的 合法 性 需要 
等 到 密 钥 协 商 完成 后 ， 看 STA 是 否 能 够 正确 使 用 自己 的 私 钥 解密 AP 的 随机 数 ， 即 是 否 具 
有 欲 协商 的 共享 密 钥 才能 确定 。 通 过 判断 STA 是 否 能 正确 生成 合法 会 话 密 钥 对 STA 的 认证 
方法 ， 有 时 称 之 为 “ 隐 性 认证 ”。 这 点 在 后 文 介绍 单 播 密 钥 协商 过 程 后 就 清楚 了 。 

3) ” 单 播 密 钥 协商 过 程 

(1) 密 钥 协商 请 求 。AP 采用 伪 随 机 数 生成 算法 生成 伪 随 机 数 , 利用 STA 的 公 钥 将 其 进 
行 加 密 。AP 将 密 钥 协商 标识 、 单 播 密 钥 索引 、 加 密 信息 和 安全 参数 索引 等 用 自己 的 私 钥 生 
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成 签名 后 发 送 给 STA。 

(2) 密 钥 协商 响应 。STA 检查 当前 状态 、 安 全 参数 索引 和 AP 签名 的 有 效 性 ， 然 后 查看 
分 组 是 证 书 认 证 成 功 后 的 首次 密 钥 协商 还 是 密 钥 更 新 协商 请 求 ， 并 且 相 应 地 对 密 钥 协商 标 
识字 段 值 进行 比较 。 然 后 用 自己 的 私 钥 解密 得 到 和 ，STA 产生 R2， 将 R18R2 的 结果 进行 
扩展 得 到 单 播 会 话 密 钥 。STA 将 单 播 密 钥 索引 、 下 次 密 钥 协商 标识 、 消 息 鉴别 码 、 用 AP 
公 钥 加 密 的 R2 等 发 送 给 AP。 

(3) AP 收 到 密 钥 协商 响应 消息 后 ， 使 用 私 钥 解密 得 到 扩展 R1@R2 得 到 单 播 会 话 密 钥 
和 消息 鉴别 (数据 完整 性 ) 密 钥 , 计算 消息 鉴别 码 , 将 其 和 响应 分 组 中 的 消息 鉴别 码 字 段 进行 
比较 。 最 后 比较 会 话 算法 标识 ， 判 断 下 次 密 钥 协商 标识 是 否 单调 递增 ， 保 存 下 次 密 钥 协商 
标识 作为 下 次 单 播 密 钥 更 新 时 的 密 钥 协商 标识 。 

在 单 播 密 钥 协商 完成 后 ， 开 始 组 播 密 钥 协商 过 程 。 其 过 程 类 似 ， 有 具体 描述 可 参见 相关 
文献 。 下 面 简要 比较 一 下 802.11i 的 EAP-TLS 与 WAPI 的 不 同 。 

(1) EAP-TLS 认证 是 基于 STA 和 了 RADIUS 服务 器 的 双向 认证 ， 并 且 使 用 了 数字 证 书 ， 
但 并 没有 对 选用 的 AP 进行 充分 的 验证 ， 这 会 带 来 一 定 的 安全 隐患 ， 同 时 在 EAP-TLS 认证 
的 最 后 由 AP 发 送 给 STA 的 报 文 EAP-Success 采用 明文 传送 ， 容 易 被 攻击 者 利用 ， 从 而 达 
到 欺骗 客户 端的 目的 ， 进 而 导致 遭 到 拒绝 服务 攻击 和 中 间 人 攻击 。 

(2) WAPI 中 也 使 用 了 数字 证 书 (虽然 格式 不 同 )，AP 和 AS 间 相 互 认证 , AS 和 STA 间 
相互 认证 ， AP 和 AS 的 合法 性 可 保证 , 但 STA 只 验证 了 证 书 ，STA 的 身份 是 通过 密 钥 协 商 
“ 隐 性 认证 ”的 。 

WAPI 的 设计 思路 与 802.11i 截然 不 同 。802.11i 为 了 兼容 性 ， 组 合 了 一 些 现 有 的 有 线 网 
络 安全 协议 ， 而 WAPI 重新 设计 了 WLAN 安全 结构 ， 因 此 其 认证 协议 消息 交换 轮 数 与 
802.11i 中 的 EAP-TLS 认证 协议 相 比 要 少 得 多 ; 而 且 WAPI 的 密 钥 协商 协议 也 非常 简单 ,只 
需要 进行 两 轮 交 换 消息 ， 不 像 802.11i 中 是 四 次 握手 。 

通过 比较 可 以 发 现 ， 这 在 某 种 程度 上 体现 了 实际 网 络 安全 工程 设计 中 除了 安全 性 外 ， 
还 需要 考虑 更 多 的 因素 ， 如 历史 兼容 性 、 投 资 和 成 本 等 非 安全 因素 。 另 外 也 可 以 看 出 ， 密 
码 学 安全 协议 仅仅 提供 的 是 协议 的 最 简单 形式 及 其 安全 保障 ， 在 具体 实际 的 应 用 中 ， 形 态 
可 能 是 多 种 多 样 的 。 


5. SMS4 对 称 密码 算法 


SMS4 算法 是 国家 商用 密码 管理 办 公 室 于 2006 年 1 月 公布 的 用 于 无 线 局 域 网 产品 的 分 
组 对 称 密码 算法 。SMS4 算法 是 我 国 第 一 个 公开 的 、 针 对 无 线 局 域 网 产品 的 密码 算法 。 特 别 
值得 注意 的 是 , WAH 中 使 用 的 加 密 算法 就 是 我 国 自己 制定 的 分 组 加 密 算法 SMS4。2006 年 ， 
我 国 国家 密码 管理 局 公布 了 WAPI 中 使 用 的 SMS4 密码 算法 ， 该 算法 是 我 国 拥有 自主 知识 
产权 的 加 密 算法 。 这 是 我 国 第 一 次 公布 自己 的 商用 密码 算法 ， 其 意义 重大 ， 标 志 着 我 国 商 
用 密码 管理 更 加 科学 化 和 与 国际 接轨 。 另 外 ， 国 家 密码 管理 局 公告 (第 7 号 , 2006 年 1 月 6 
日 ) 中 要 求 : 无 线 局 域 网 产品 须 采 用 SMS4 作为 对 称 密码 算法 。 

1) ”基本 参数 与 运算 

SMS4 分 组 长 度 为 128 位 ， 密 钥 长 度 为 128 位 ， 加 密 和 密 钥 扩展 算法 都 采用 32 轮 迭 代 
结构 。 它 以 字 节 和 字 (32 位 ) 为 单位 进行 数据 处 理 。SMS4 中 的 基本 运算 为 模 2 加 和 左 循 环 
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移 位 。 
2) ”SMS4 中 的 基本 加 密 元 素 
(1) S 盒 .S 盒 的 输入 和 输出 都 为 一 个 字 节 ,其 本 质 是 8 位 非 线 性 置换 ,起 混淆 (Confusion) 

的 作用 。S 盒 的 设计 (输入 输出 对 照 表 ) 是 公开 的 。 

(2) 非 线 性 变换 f。 字 为 单位 ， 由 4 个 S 盒 构成 ， 实 质 上 是 S 盒 的 并 行 计 算 。 

(3) 线性 变换 工 。 以 字 为 单位 ， 主 要 起 扩散 (Diffusion) 作 用 。 

(4) 合成 变换 T。 以 字 为 单位 ， 由 非 线 性 变换 f 和 线性 变换 工 复合 而 成 。 

3)” 轮 函数 的 设计 

SMS4 的 轮 函 数 (Round Function) 以 字 为 处 理 单位 。 设 轮 函 数 下 的 输入 为 (Xo，X1，X， 

共 4 个 字 ，128 位 ， 轮 密 钥 KK 为 32 位 (1 个 字 )。SMS4 的 轮 函数 结构 如 图 5-12 所 示 
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图 5-12 SMS4 的 轮 函 数 
4) ”加 密 算法 
共 32 轮 加 密 ， 设 输入 明文 为 Xo，Xi，X2，Xs)4 个 字 ， 轮 密 钥 为 ki, i=0,，1,…，31， 
经 过 32 轮 运算 后 输出 密 文 (Yo，Y1，Y2，Y3)， 如 图 5-13 所 示 。 
这 里 的 设计 借用 了 密 文 反馈 和 流 密码 的 思想 。 
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5-13 ”SMS4 的 加 密 算法 
5) ”解密 算法 


SMS4 算法 的 加 密 解 密 结构 相同 ， 只 是 密 钥 的 使 用 次 序 相反 ， 便 于 降低 实现 成 本 。 
6) 密 钥 扩展 


加 密 密 钥 为 128 位 ， 需 要 32 个 32 位 的 轮 密 钥 ， 故 需要 使 用 密 钥 扩展 算法 。 算 法 结构 
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与 加 密 算法 类 似 ， 具 体 细节 从 上 略 。 
经 测试 ，SMS4 可 以 抵抗 差分 分 析 、 线 性 攻击 等 ， 且 SMS4 中 S 盒 的 设计 相当 安全 , 在 
非 线 性 度 、 自 相关 性 、 代 数 免疫 性 等 方面 有 相当 高 的 水 平 。 


5.3 ”移动 通信 和 网 安全 


传感器 节点 可 能 通过 无 线 移动 通信 网 络 (如 GPRS 或 者 TD-SCDMA) 直 接 将 收集 到 的 数 
据 传递 到 中 央 控 制 点 (如 M2M 应 用 )， 或 者 发 送 至 网 关 后 再 通过 远 距 离 无 线 移动 通信 发 送 到 
中 央 控制 点 (在 最 终 到 达 中 央 控 制 点 前 ,可 能 还 需要 经 过 IP 核心 网 )。 智能 手机 结合 RFID 功 
能 可 以 实现 移动 支付 (手机 钱包 ) 等 功能 ，M2M( 如 M2M 的 关键 应 用 远程 抄 表 等 ) 也 是 由 移动 
通信 运营 商 主推 的 物 联 网 业务 , 智能 电网 也 可 能 利用 M2M 技术 将 电力 消费 以 及 电力 生成 数 
据 发 送 到 中 央 控 制 点 。 这 些 都 离 不 开 移动 通信 网 络 的 安全 ， 本 节 重 点 介绍 2G、3G 和 4G 通 
信和 网 络 中 的 典型 安全 问题 ， 即 接 入 认证 ( 鉴 权 ) 和 数据 (保密 、 完 整 性 ) 保 护 机 制 。 


5.3.1 无 线 移动 通信 安全 简介 
1. 移动 通信 系统 的 体系 结构 


1)”2G/2.5G 移动 通信 系统 

这 里 略 去 了 1G 移动 通信 系统 的 介绍 。2G 系统 主要 采用 数字 的 时 分 多 址 (TDMA) 和 码 
分 多 址 (CDMA) 技 术 ， 提 供 数 字 化 的 语音 业务 及 低速 数据 业务 。 它 克服 了 模拟 移动 通信 系统 
的 弱点 ， 话 音质 量 和 保密 性 得 到 很 大 的 提高 ， 并 可 进行 省 内 、 省 际 自动 漫游 。 具 有 代表 性 
的 2G 通信 系统 有 美国 的 CDMA95 系统 (基于 CDMA 技术 ) 和 欧洲 的 GSM 系统 (基于 TDMA 
技术 )。 

针对 2G 系统 在 数据 业务 上 的 弱点 , 2.5G 系统 在 2G 网 络 中 添加 分 组 交换 控制 功能 ， 可 
为 用 户 提供 一 定 速率 的 数据 业务 (如 GPRS 系统 最 大 传输 速率 为 115 Kb/s, CDMA2000IX 系 
统 最 大 传输 速率 为 150 Kb/s)， 从 而 成 为 介 于 2G 和 3G 系统 的 过 渡 类 型 。 代 表 性 的 2.5G 系 
统 有 基于 GSM 的 GPRS 系统 和 基于 CDMA95 的 CDMA2000 IX 系统 。 

以 GSM 为 例 , GSM 系统 的 组 成 如 图 5-14 所 示 , 主要 包括 移动 台 (Mobile Station, MS)、 
基站 子 系统 (Base Station Subsystem，BSS)、 网 络 子 系统 (Network Substation，NSS) 等 几 个 部 
分 。 其 中 BSS 包括 基站 控制 器 (Base Station Controller，BSC) 和 基站 收发 台 (Base Transceiver 
Station，BTS)， 网 络 子 系统 主要 包括 移动 业务 交换 中 心 (Mobile Switch Center，MSC)、 归 属 
位 置 寄存 器 (Home Location Register，HLR)、 访 问 位 置 寄存 器 (Visitor Location Register， 
VLR)、 鉴 权 中 心 (Authentication Center, AUC)、 设 备 识别 寄存 器 (Equipment Identity Register， 
EIR) 等 。Um 为 MS 和 BTS 之 间 的 无 线 接口 。 下 面 分 别 给 予 简介 。 

(1) 移动 台 (MS)。 移动 台 由 移动 终端 和 客户 识别 卡 (SIM 卡 ) 两 部 分 组 成 。 移 动 终端 完成 
语音 编码 ( 信 源 编码 )、 信 道 编码 、 信 息 加 密 、 信 息 的 调制 和 解 调 、 信 息 发 射 和 接收 等 功能 。 
SIM 卡 存 有 认证 客户 身份 所 需 的 所 有 信息 ， 并 能 执行 一 些 与 安全 有 关 的 运算 ， 以 防止 非法 
客户 进入 网 络 ， 只 有 插入 SIM 卡 后 移动 台 才 能 接 入 网 内 。 

(2) 基站 子 系统 (BSS)。 基 站 子 系统 在 GSM 网 络 的 固定 部 分 和 移动 台 之 间 提 供 中 继 。 
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一 方面 BSS 通过 无 线 接口 直接 与 移动 台 实现 通信 连接 ， 另 一 方面 BSS 又 连接 到 移动 交换 子 
系统 (MSS) 的 移动 交换 中 心 (MSC)。BSS 可 分 为 两 部 分 : 通过 无 线 接口 与 移动 台 相连 的 基站 
收发 台 (BTS) 以 及 与 移动 交换 中 心 相连 的 基站 控制 器 (BSC)。BTS 负责 无 线 传输 ，BSC 负责 
控制 与 管理 。 






















































































图 5-14 GSM 的 系统 结构 


(3) 移动 交换 中 心 (MSC)。MSC 是 PLMN(Public Land Mobile Network， 公 用 陆地 移动 
通信 网) 的 核心 。MSC 对 位 于 它 所 覆盖 区 域 中 的 移动 台 进行 控制 并 完成 话 路 接续 的 功能 ， 也 
是 PLMN 和 其 他 网 络 之 间 的 接口 ， 它 完成 通话 接续 、 计 费 、BSS 和 MSC 之 间 的 切换 和 辅 
助 性 的 无 线 资源 管理 、 移 动 性 管理 等 功能 。 另 外 , 为 了 建立 到 移动 台 的 呼叫 路 由 , 每 个 MSC 
还 完成 GMSC(Gateway Mobile Switching Centre， 网 关 移动 交换 中 心 ) 的 功能 ， 即 可 以 查询 移 
动 台 的 位 置信 息 。MSC 从 3 种 数据 库 ， 即 访问 位 置 寄存 器 (VLR)、 归 属 位 置 寄存 器 (HLR) 
和 鉴 权 中 心 (AUC) 中 取得 处 理 用 户 呼叫 请 求 所 需 的 全 部 数据 。 反 之 ，MSC 可 根据 其 最 新 数 
据 更 新 数据 库 。 

(4) 访问 位 置 寄存 器 (VLR)。VLR 通常 与 MSC 在 一 起 ， 其 中 存储 了 MSC 所 管辖 区 域 
中 的 移动 台 ( 称 访问 客户 ) 的 相关 用 户 数据 ， 包 括 用 户 号 码 、 移 动 台 的 位 置 区 信息 、 用 户 状 态 
和 用 户 可 获得 的 服务 等 参数 。VLR 是 一 个 动态 用 户 数据 库 ， 它 从 移动 用 户 的 归属 位 置 寄 存 
器 (HLR) 处 获取 并 存储 必要 的 数据 。 一 旦 移动 用 户 离开 VLR 的 控制 区 域 ， 则 重新 在 另 一 个 
VLR 处 登记 ， 原 VLR 将 删除 该 移动 用 户 的 数据 记录 。 

(5) 归属 位 置 寄存 器 (HLR)。 保 存 HLR 存储 管理 部 门 用 于 移动 用 户 管理 的 数据 。 每 个 
移动 用 户 都 应 在 其 归属 位 置 寄存 器 (HLR) 注 册 登 记 ， 它 主要 存储 两 类 信息 : 有 关 移 动用 户 的 
参数 ， 包 括 移动 用 户 识别 号 码 、 访 问 能 力 、 用 户 类 别 和 补充 业务 等 数据 ， 有 关 移 动用 户 目 
前 所 处 位 置 的 信息 ， 以 便 建立 到 移动 台 的 呼叫 路 由 ， 如 MSC、VRL 地 址 等 。 

(6) 鉴 权 中 心 (AUC)。AUC 属于 HLR 的 一 个 功能 单元 ， 专 门 用 于 GSM 系统 的 安全 性 
管理 。 鉴 权 中 心 产生 鉴 权 三 元 组 (下 一 节 将 介绍 ) 用 来 鉴 权 用 户 身份 的 合法 性 以 及 对 无 线 接口 
上 的 语音 、 数 据 、 信 令 信 号 进行 加 密 ， 防 止 非 授权 用 户 接 入 和 保证 移动 用 户 通信 的 安全 。 

(7) 设备 识别 寄存 器 (EIR)。EIR 存储 有 关 移 动 台 设备 参数 ， 完 成 对 移动 设备 的 识别 、 
监视 、 闭 锁 等 功能 ， 以 防止 非法 移动 台 的 使 用 。EIR 也 是 一 个 数据 库 ， 保 存 着 关于 移动 设备 
的 国际 移动 设备 识别 码 GMED 的 3 份 名 单 : 白 名 单 、 黑 名 单 和 灰 名 单 。 在 这 3 种 名 单 的 3 
种 表格 中 分 别 列 出 了 准许 使 用 的 、 出 现 故 障 需 监视 的 、 丢 失 不 准 使 用 的 移动 设备 的 IMEI 识 
别 码 ， 通 过 对 这 3 种 表格 的 核查 ， 使 得 运营 部 门 对 于 不 管 是 丢失 还 是 由 于 技术 故障 或 误 操 
作 而 危及 网 络 正常 运营 的 设备 ， 都 能 采取 及 时 的 防范 措施 ， 以 确保 网 络 内 所 使 用 的 设备 的 
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唯一 性 和 安全 性 。 

2) 3G 移动 通信 系统 

3G 有 更 宽 的 带宽 (其 传输 速度 为 384 Kb/s 一 2 Mb/s， 带 宽 5 MHz 以 上 ) 和 系统 容量 ， 可 
实现 高 速 数据 传输 和 多 媒体 服务 。3G 系统 的 空中 接口 包含 有 WCDMA、CDMA2000 和 
TD-SCDMA 三 个 标准 。 其 中 WCDMA 是 欧洲 倡导 的 宽带 CDMA 技术 ， 该 标准 提出 了 
GSM-GPRS-EDGE-WCDMA 的 演进 方案 。 而 CDMA2000 标准 是 美国 主推 的 宽带 CDMA 技 
术 , 提出 了 CDMA95-CDMA2000 1X-CDMA2000 的 演进 策略 。 我国 提 出 的 TD-SCDMA 标 
准 非常 适用 于 GSM,， 可 以 不 经 过 2.5G 时 代 ， 直 接 向 3G 过 渡 。 和 WAPI 一 样 ，TD-SCDMA 
是 我 国 提出 的 具有 自主 知识 产权 的 国际 标准 (3G 总 体 架构 )aTD-SCDMA(Time Division- 
Synchronous Code Division Multiple Access)， 即 时 分 同步 码 分 多 址 , 将 SDMA、 同 步 CDMA 
和 软件 无 线 电 等 当今 国际 领先 技术 融合 在 一 起 ， 可 以 对 频率 和 不 同业 务 灵 活 搭配 ， 高 效率 
利用 频谱 等 有 效 资源 ， 加 上 有 TDMA 和 FDMA 的 支持 ， 使 得 抗 干扰 能 力 强 ， 系 统 容量 大 。 
目前 TC 又 可 分 为 TD-SCDMA 和 TD-HSDPA。TD-SCDMA 主要 负责 提供 语音 和 视频 电话 
等 最 高 下 行 速率 为 384 Kb/s 的 数据 业务 ， 而 TD-HSDPA 是 一 种 数据 业务 增强 技术 ， 可 以 提 
供 2.8 Mb/s 的 下 行 速 率 。 


2. 移动 通信 网 络 的 一 般 安全 威胁 


按照 攻击 者 攻击 的 物理 位 置 ， 对 移动 通信 系统 的 安全 威胁 可 以 分 为 对 无 线 链 路 的 威胁 、 
对 服务 网 络 ( 有 线 网 络 ) 的 威胁 和 对 移动 终端 (手机 ) 的 威胁 。 由 于 无 线 网 络 的 开放 性 ， 对 无 线 
链 路 的 威胁 是 需要 首先 考虑 的 问题 ， 主 要 如 下 。 

(1) 窃听 。 由 于 链 路 的 开放 性 ， 在 无 线 链 路 或 服务 网 内 ， 攻 击 者 可 以 窃听 用 户 数据 、 
信 令 数据 及 控制 数据 ， 试 图 解密 ， 或 者 进行 流量 分 析 ， 即 主动 或 被 动 流量 分 析 以 获取 信息 
的 时 间 、 速 率 、 长 度 、 来 源 及 目的 地 。 

(2) 伪装 。 伪 基站 截取 用 户 数据 、 信 令 数据 ， 伪 终端 欺骗 网 络 获 取 服务 。 

(3) 用 户 获取 对 非 授权 服务 的 访问 。 

(4) 破坏 数据 的 完整 性 。 即 修改 、 插 入 、 重 放 、 删 除 用 户 数据 或 信 令 数据 ， 破 坏 数据 
的 完整 性 。 

此 外 ， 还 存在 否认 攻击 ， 即 用 户 和 否认 业务 费用 、 业 务 数据 来 源 及 发 送 或 接收 到 的 其 
他 用 户 的 数据 ， 网 络 单元 否认 提供 的 网 络 服务 ;拒绝 服务 攻击 ， 在 物理 上 或 协议 上 干扰 
用 户 数据 和 信和 令 数据 在 无 线 链 路 上 的 正确 传输 ; 或 耗 尽 网 络 资源 ， 使 其 他 合法 用 户 无 法 
访问 。 

从 安全 协议 的 角度 分 析 ， 应 对 上 面 4 种 最 主要 的 威胁 ， 方 法 如 下 : 应 对 窃听 威胁 主要 
依靠 加 密 的 方法 ， 应 对 伪装 主要 依靠 用 户 认证 的 方法 ， 应 对 破坏 数据 的 完整 性 的 威胁 主要 
依靠 采用 消息 鉴别 码 的 方法 。 这 些 防御 方法 的 一 个 关键 点 就 是 需要 建立 相应 的 密 钥 ， 例 如 
认证 密 钥 、 加 密 密 钥 、 消 息 完整 性 密 钥 。 另 外 ， 加 密 密 钥 通常 是 需要 经 常 更 换 的 ， 以 应 对 
攻击 者 对 密 钥 的 破解 。 这 种 经 常 更 换 的 用 于 某 个 会 话 的 密 钥 称 为 会 话 密 钥 。 
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5.3.2 2G(GSM) 安 全 机 制 
1. GSM 的 安全 需求 


蜂窝 网 (Cellular Network) 为 移动 用 户 提供 无 线 语音 接 入 ， 是 基于 基础 设施 的 网 络 。 基 础 
设施 由 无 线 基站 和 有 线 骨干 网 络 组 成 ， 有 线 骨干 网 络 将 基站 连接 起 来 ， 每 一 个 基站 仅 在 一 
个 有 限 的 物理 区 域 (CelD) 内 服务 ， 所 有 基站 连接 起 来 便 可 以 覆盖 一 块 很 大 的 区 域 。 手 机 是 典 
型 的 蜂窝 网 终端 设备 ， 通 过 无 线 信道 连接 到 某 个 基站 。 通 过 基站 及 其 骨干 网 基础 设施 ， 手 
机 可 以 发 起 和 接收 来 自 其 他 手机 的 电话 。 系 统 中 唯一 无 线 的 部 分 是 连接 手机 和 基站 的 部 分 ， 
其 余 的 (如 骨干 网 部 分 ) 都 是 有 线 网 络 。 

GSM(Global System for Mobile Communications， 全 球 移动 通信 系统 ) 是 第 二 代数 字 蜂 窝 
移动 通信 系统 的 典型 例子 ， 其 最 主要 的 安全 需求 是 用 户 的 认证 接 入 (因为 涉及 通信 服务 计 费 
问题 )。 除 了 用 户 认证 之 外 ，GSM 还 需要 对 无 线 信道 内 在 的 威胁 (如 窃听 ) 采 取 措 施 。 这 样 就 
需要 对 在 空中 接口 上 传送 的 语音 通信 和 传送 信息 加 以 保密 。 此 外 ， 还 需要 保护 用 户 的 隐私 ， 
即 隐 藏 用 户 的 真实 身份 (标识 )。 在 实际 中 ，GSM 安全 架构 中 的 一 个 基本 假设 就 是 : 用 户 与 
宿主 网 络 (Home Network) 之 间 具 有 长 期 共享 的 秘密 密 钥 (存放 在 SIM 卡 中 ), 这 个 秘密 密 钥 是 
用 户 认证 的 基本 依据 。 

2. GSM 用 户 认证 与 密 钥 协商 协议 

1) 用户 认 证 

在 GSM 中 ， 秘 密 密 铀 和 其 他 与 用 户 身 份 相关 的 信息 存储 在 一 个 安全 单元 中 ， 称 为 
SIM(Subscriber Identity Module， 用 户 身份 识别 模块 )。SIM 以 智能 卡 的 形式 实现 ， 可 以 插入 
手机 或 者 从 手机 中 移 除 。 虽 然 密 钥 也 可 以 存储 在 手机 的 非 易 失 性 存储 设备 中 ， 用 一 个 口令 
进行 加 密 ， 但 是 将 密 钥 存 储 在 可 移 除 性 模块 中 是 一 个 更 好 的 选择 ， 因 为 这 样 允 许 用 户 身份 
在 不 同 的 设备 之 间 具 有 移植 性 ， 用 户 只 需要 取出 SIM 卡 ， 便 可 以 更 换 手 机 而 保持 同样 的 
身份 。 

GSM 中 的 用 户 认 证 基于 挑战 -应 答 方式 , 即 认证 方 (网 络 运营 商 ) 提 出 问题 , 被 认证 方 ( 移 
动 终端 ) 进 行 回答 。 移 动 终端 收 到 一 个 不 可 预知 的 随机 数 作为 一 个 挑战 ， 为 了 完成 认证 ， 必 
须 计 算出 一 个 正确 的 应 答 。 正 确 的 应 答 必须 通过 秘密 密 钥 计算 得 来 ， 不 知道 秘密 密 钥 便 不 
能 计算 出 正确 的 应 答 。 因 此 ， 如 果 网 络 运营 商 接 收 到 一 个 正确 的 应 答 ， 就 可 认为 这 是 一 个 
合法 用 户 。 询 问 必须 保证 随机 性 ， 否 则 应 答 就 可 以 预测 或 者 重 放 。 因 为 挑战 值 是 不 可 预测 
的 ， 所 以 网 络 运 营 商 在 发 送 挑战 后 ， 一 定 知道 应 答 是 刚刚 计算 的 ， 而 不 是 重 放 以 前 的 应 答 。 
用 于 认证 的 计算 由 用 户 的 手机 和 SIM 卡 完成 ， 无 须 手 机 用 户 的 人 工 参 与 。 

假设 用 户 漫游 到 一 个 本 地 服务 区 域外 的 网 络 ， 通 常 称 为 被 访问 网 络 (Visited Network)。 
GSM 用 户 认 证 协议 的 步骤 解释 如 下 。 

(1) 手机 从 SIM 中 读 取 IMSI(Intemational Mobile Subscriber Identity, 国际 移动 用 户 识 
别 码 )， 并 且 将 其 发 送 给 被 访问 网 络 。 

(2) 通过 IMSI， 被 访问 网 络 确 定 此 用 户 的 宿主 网 络 ， 然 后 凭借 骨干 网 ， 被 访问 网 络 将 
IMSI 转发 给 用 户 所 在 宿主 网 络 。 

(3) 宿主 网 络 查询 对 应 于 IMSI 的 用 户 秘密 密 钥 ， 然 后 生成 一 个 三 元 组 (RAND，SRES， 
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CK)， 其 中 RAND 是 一 个 伪 随 机 数 (Pseudo Random Number)，SRES 是 此 询问 的 正确 应 答 
(Signed RESponse)，CK 是 用 于 加 密 的 密 钥 ( 即 加 密会 话 内 容 的 会 话 密 钥 ，Cipher Key)， 用 于 
加 密 空 中 接口 (手机 和 被 访问 网 络 基站 之 间 的 无 线 通信 接口 ) 中 传递 的 内 容 。RAND 由 伪 随 机 
数 产生 器 (Pseudo Random Number Generator，PRNG) 产 生 。 在 GSM 规范 中 ，SRES 和 CK 
为 RAND 和 分 别 利用 A3 算法 和 Ag 算法 (两 种 专属 算法 ) 计 算 而 来 。 将 三 元 组 (RAND， 
SRES，CK) 发 送 到 被 访问 网 络 。 

(4) 被 访问 网 络 向 手机 发 送 询问 RAND 。 

(5) 手机 将 RAND 转 到 SIM，SIM 计算 并 且 输 出 应 答 SRES 和 加 密 密 钥 CK。 手 机 将 
SRES 发 送 到 被 访问 网 络 ， 然 后 将 其 与 SRES 比较 。 如 果 SRES=SRES， 则 用 户 得 到 认证 。 
用 户 认证 成 功 后 , 手机 和 被 访问 网 络 的 基站 之 间 的 通信 用 会 话 密 钥 CK 加 密 ， 容 易 看 出 ， 会 
话 密 钥 CK'=CK。 使 用 的 加 密 算 法 为 序列 密码 算法 , 在 GSM 规范 中 叫 作 A5 算法 (安全 分 析 
见 参 考 文献 ，A5/2 是 不 安全 的 ，A5/1 和 A5/3 又 叫 KASUMD)。 图 5-15 所 示 是 GSM 的 认证 过 
程 。 
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图 5-15 GSM 认证 过 程 


GSM 认证 机 制 虽然 与 IEEE 802.11 共享 密 钥 认 证 类 似 ， 但 被 访问 网 络 和 认证 网 络 是 分 
离 的 ， 其 特点 是 : 被 访问 网 络 在 不 拥有 用 户 长 期 秘密 密 钥 的 情况 下 ， 也 可 以 认证 用 户 。 即 
通过 宿主 网 络 提供 期 望 的 挑战 值 和 相应 的 应 答 值 给 被 访问 网 络 来 实现 。 

2) ”对 用 户 标识 的 隐私 保护 

GSM 还 提供 了 对 通过 认证 的 用 户 身 份 标识 IMSI 的 保护 ， 目 的 是 保护 用 户 的 位 置 隐私 ， 
方法 是 隐藏 空中 接口 上 的 IMSI: 用 户 认证 成 功 后 ， 从 被 访问 网 络 接收 到 一 个 称 为 
TMSK(Temporary Mobile Subscriber Identity) 的 临时 识别 码 。TMSI 用 新 生成 的 密 钥 CK 加 密 ， 
因而 不 能 被 窃听 者 知道 。 接 下 来 使 用 TMSI， 而 不 是 IMSI。 被 访问 网 络 保留 TMSI 和 IMSI 
间 的 映射 。 

当 用 户 进 入 另外 一 个 被 访问 网 络 (不 妨 称 为 B) 时 ，B 联系 先前 的 被 访问 网 络 (不 妨 称 为 
A)， 将 收 到 的 TMSI 发 送 给 A。A 查询 与 TMSI 关联 的 数据 并 且 将 用 户 的 IMSI 和 保留 的 三 
元 组 发 送 给 B， 从 而 B 可 以 为 用 户 服务 。 如 果 TMSI 不 再 适用 (例如 手机 在 漫游 到 B 前 曾经 
长 时 间 关 机 )，B 可 请 求 手 机 发 送 IMSI， 以 重新 引导 TMSI 机 制 。 

总 之 ，GSM 安全 协议 提供 了 以 下 的 安全 服务 。 

(1) 用 户 认证 基于 挑战 -应 答 协 议 以 及 用 户 和 宿主 网 络 共享 的 长 期 秘密 密 钥 。 认 证 数据 
从 宿主 网 络 发 送 到 被 访问 网 络 ， 长 期 秘密 密 钥 没有 泄露 给 被 访问 网 络 。 
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(2) 空中 接口 (无 线 链 路 ) 上 通信 的 保密 性 由 会 话 密 钥 加 密 来 保证 , 此 会 话 密 钥 建立 在 用 
户 认证 基础 上 ， 在 手机 和 被 访问 网 络 间 共 享 ， 并 且 由 宿主 网 络 协助 完成 。 

(3) 使 用 临时 识别 码 保护 无 线 接口 中 的 用 户 真实 身份 不 被 窃听 识别 ， 即 通信 中 大 多 数 
寺 间 不 使 用 真实 的 身份 识别 码 ， 窃 听 者 很 难 追 踪 用 户 ， 从 而 保护 了 用 户 的 隐私 。 
但 是 GSM 没有 考虑 完整 性 保护 的 问题 ， 这 一 点 在 以 语音 通信 为 主 的 2G 通信 中 不 是 十 
分 重要 ， 因 为 丢失 或 者 改动 的 语音 通常 可 以 被 通话 双方 人 为 地 识别 。 但 是 ， 由 于 3G 中 数据 
业务 的 增多 ， 必 须 考虑 数据 的 完整 性 ， 因 为 一 个 比特 的 改变 可 能 使 得 数据 的 含义 发 生 很 大 
改变 。 完 整 性 问题 在 接 下 来 介绍 的 3G 的 安全 机 制 中 给 予 了 考虑 。 


5.3.3 3G 安全 机 制 
1. 3G 安全 体系 结构 


1) 3G 体系 结构 

第 三 代 移 动 通信 技术 (3G) 是 指 支持 高 速 数据 传输 的 移动 通信 技术 。3G 服务 能 够 同时 传 
送 声 音 及 数据 信息 (电子 邮件 、 即 时 通信 等 )。3G 的 代表 特征 是 提供 高 速 数据 业务 ， 速 率 一 
般 在 几 百 Kb/s 以 上 。3G 规范 是 由 国际 电信 联盟 所 制定 的 IMT-2000(International Mobile 
Telecommunications-2000) 规 范 发 展 而 来 。3G 移动 通信 的 主流 技术 包括 WCDMA、 
CDMA2000、TD-SCDMA。WCDMA、TD-SCDMA 的 安全 规范 由 以 欧洲 为 主体 的 3GPP(3G 
了 Partnership Project) 制 定 ， 其 中 TD-SCDMA 由 中 国 提 出 。CDMA2000 的 安全 规范 由 以 北美 
为 首 的 3GPP2 制定 。 从 某 种 意义 上 来 讲 , WiMAX 也 能 够 提供 广域网 接 入 服务 , 在 2007 年 ， 
ITU 将 WiMAX 正式 批准 为 继 WCDMA、CDMA2000 和 TD-SCDMA 之 后 的 第 4 个 3G 标准 。 
鉴于 目前 WiMAX(IEEE 802.16) 很 难 在 短期 内 大 量 应 用 , 本 节 主 要 讨论 传统 的 从 无 线 移 动 通 
信 网 络 演进 的 3G 安全 。 

2) 3G 安全 体系 结构 

3G 系统 是 在 2G 系统 基础 上 发 展 起 来 的 , 它 继承 了 2G 系统 的 安全 优点 , 气 弃 了 2G 系 
统 存在 的 安全 缺陷 ， 同 时 针对 3G 系统 的 新 特性 ， 定 义 了 更 加 完善 的 安全 特征 与 安全 服务 。 
ETSITS 133 给 出 的 3G 安全 模型 , 如 图 5-16 所 示 。3GPP 将 3G 网 络 划 分 成 了 三 层 : 应 用 层 、 
归属 层 /服务 层 、 传 输 层 。 在 此 基础 上 将 所 有 安全 问题 归纳 为 $ 个 范畴 : 网 络 接 入 安全 、 网 
络 域 安全 、 用 户 域 安全 、 应 用 域 安全 、 安 全 特性 的 可 视 性 与 可 配置 性 。 
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(1) 网 络 接 入 安全 。 提 供 安全 接 入 服务 网 的 认证 接 入 机 制 并 抵御 对 无 线 链 路 的 窃听 、 
自 改 等 攻击 。 空 中 接口 的 安全 性 最 为 重要 ， 因 为 无 线 链 路 最 易 遭 受 各 种 攻击 。 这 一 部 分 的 
功能 包括 用 户 身份 保密 、 认 证 和 密 钥 分 配 、 数 据 加 密 和 完整 性 等 。 其 中 认证 是 基于 共享 对 
称 密 钥 信息 的 双向 认证 ， 密 钥 分 配 和 认证 一 起 完成 (AKA)。 具 体 包括 如 下 内 容 。 

@ ”认证 : 包括 对 用 户 的 认证 和 对 接 入 网 络 的 认证 。 

@ 加密: 包括 加 密 算法 协商 、 加 密 密 钥 协 商 、 用 户 数据 的 加 密 和 信 令 数据 的 加 密 。 

@ ”数据 完整 性 ， 包括 完整 性 算法 协商 、 完 整 性 密 钥 协 商 、 数 据 完整 性 和 数据 源 认证 。 

@ 用户 标识 的 保密 性 : 包括 用 户 标识 的 保密 、 用 户 位 置 的 保密 及 用 户 位 置 的 不 可 追 

踪 性 ， 主 要 是 保护 用 户 的 个 人 隐私 。 

(2) 网 络 域 安全 。 保 证 网 内 信 令 的 安全 传送 并 抵御 对 有 线 网 络 及 核心 网 部 分 的 攻击 。 
网 络 域 安全 分 为 3 个 层次 。 

Q@” 密 钥 建 立 ， 密 钥 管 理 中 心 产生 并 存储 非 对 称 密 钥 对， 保存 其 他 网 络 的 公 钥 ， 产 生 、 
存储 并 分 配 用 于 加 密 信息 的 对 称 会 话 密 钥 ， 接 收 并 分 配 来 自 其 他 网 络 的 对 称 会 话 密 钥 。 

@ 密 钥 分 配 : 为 网 络 中 的 节点 分 配 会 话 密 钥 。 

@ ”安全 通信 : 使 用 对 称 密 钥 实 现 数据 加 密 和 数据 源 认证 。 

(3) 用 户 域 安全 。 用 户 服务 识别 模块 (User Service Identity Module，USIM) 是 一 个 运行 
在 可 更 换 的 智能 卡 上 的 应 用 程序 。 用 户 域 安全 机 制 用 于 保护 用 户 与 用 户 服务 识别 模块 之 间 ， 
以 及 用 户 服务 识别 模块 与 终端 之 间 的 连接 ， 包 括 以 下 两 个 部 分 。 

@ ”用 户 到 用 户 服务 身份 模块 (USIM) 的 认证 : 用 户 接 入 到 USIM 之 前 , 必须 经 过 USIM 

的 认证 ， 确 保 接 入 USIM 的 用 户 为 已 授权 用 户 。 

@ USIM 到 终端 的 连接 : 确保 只 有 授权 的 USIM 才能 接 入 终端 或 其 他 用 户 环境 。 

(4) 应 用 域 安全 。 用 户 域 与 服务 提供 商 的 应 用 程序 间 能 安全 地 交换 信息 。USIM 应 用 程 
序 为 操作 员 或 第 三 方 运营 商 提供 了 创建 驻 留 应 用 程序 的 能 力 ， 需 要 确保 通过 网 络 向 USIM 
应 用 程序 传输 信息 的 安全 性 ， 其 安全 级 别 可 由 网 络 操作 员 或 应 用 程序 提供 商 根据 需要 选择 。 

(5) 安全 特性 的 可 视 性 及 可 配置 性 。 安 全 特性 的 可 视 性 是 指 用 户 能 获知 安全 特性 是 否 
正在 使 用 ， 服 务 提供 商 提供 的 服务 是 否 需 要 以 安全 服务 为 基础 。 确 保安 全 功能 对 用 户 来 说 
是 可 见 的 ， 这 样 用 户 就 可 以 知道 自己 当前 的 通信 是 否 已 被 安全 保护 ， 受 保护 的 程度 是 多 少 。 
例如 ， 接 入 网 络 的 加 密 提 示 ， 通 知 用 户 是 否 保护 传输 的 数据 ， 特 别 是 建立 非 加 密 的 呼叫 连 
接 时 进行 提示 ; 安全 级 别提 示 ， 通 知 用 户 被 访问 网 络 提供 什么 样 的 安全 级 别 ， 特 别 是 当 用 
户 漫游 到 低 安 全 级 别 的 网 络 (如 从 3G 到 2G) 时 进行 提示 ,可 配置 性 是 指 允 许 用 户 对 当前 运行 
的 安全 功能 进行 选择 配置 ， 包 括 是 否 人 允许 用 户 到 USIM 的 认证 ， 是 否 接 收 示 加密 的 呼叫 ; 
是 否 建立 非 加 密 的 呼叫 是 否 接 受 某 种 加 密 算法 。 

由 以 上 分 析 可 知 ，3G 网 络 安 全 的 特殊 性 在 于 添加 了 对 用 户 域 和 网 络 域 安全 的 考虑 ， 安 
全 特性 的 可 视 性 和 可 配置 性 体现 出 对 用 户 参与 性 的 考虑 ; 应 用 域 安全 表现 了 对 USIM 应 用 
程序 复杂 性 的 考虑 。 由 于 网 络 接 入 安全 在 3G 安全 中 具有 重要 的 地 位 ， 下 面 主要 介绍 3G 接 
入 安全 的 认证 与 密 钥 协商 协议 。 

2. 3G(UMTS) 认 证 与 密 钥 协商 协议 

通用 移动 通信 系统 (Universal Mobile Telecommunications System，UMTS) 是 当前 使 用 最 
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广泛 的 一 种 3G 移动 通信 技术 , 它 的 无 线 接口 使 用 WCDMA 和 TD-SCDMAnUMTS 从 GSM 
到 GPRS(2.5G) 演 进 (GPRS 支持 更 好 的 数据 速率 ， 理 论 上 最 大 可 以 到 140.8 Kb/s， 实 际 上 能 
实现 接近 56 Kb/s， 已 经 在 很 多 GSM 网 络 部 署 ， 它 也 是 目前 很 多 M2M 应 用 所 采用 的 技术 ) 
而 来 ， 故 两 者 的 系统 架构 十 分 相似 。UMTS 提供 的 接 入 安全 是 GSM 相关 安全 特性 的 超 集 ， 
它 相对 于 GSM 的 新 安全 特性 是 用 于 解决 GSM 中 潜在 的 安全 缺陷 。 

1) UMTS 的 认证 向 量 

首先 回顾 GSM 安全 中 的 主要 问题 。 

(1) 单 向 认证 ， 即 只 认证 接 入 用 户 ， 没 有 认证 被 访问 网 络 。 

(2) GSM 认证 三 元 组 可 无 限期 使 用 ,认证 协议 中 用 户 无 法 验证 接收 到 的 挑战 是 否 新 鲜 。 

(3) 空中 接口 上 的 通信 和 传输 没有 完整 性 保护 服务 。 

(4) 加 密 密 钥 长 度 太 短 ， 用 户 的 长 期 密 钥 可 能 泄露 ，SIM 卡 可 能 被 克隆 。 

UMTS 的 安全 架构 解决 了 上 述 安全 问题 ， 但 是 为 了 尽 可 能 地 兼顾 原 有 的 设备 投资 ， 设 
计 在 GSM 安全 架构 基础 之 上 进行 了 扩展 ，GSM 中 的 三 元 组 被 替换 为 认证 五 元 向 量 : 
(RAND，XRES，CK，IK，AUTN)。 和 GSM 中 一 样 ，RAND 是 一 个 不 可 预知 的 伪 随 机 数 ， 
由 PRNG 产生 ， 并 且 在 认证 协议 中 作为 挑战 。XRES 为 RAND 的 期 望 应 答 (Expected 
RESponse)，CK 是 会 话 加 密 密 钥 (Cipher Key)，XRES 和 CK 都 由 RAND 和 用 户 的 长 期 秘密 
密 钥 计算 得 来 。 此 外 ， 区 为 完整 性 保护 密 钥 (Integrity Key)，AUTN 是 一 个 认证 令 牌 
(Authentication Token)， 用 于 给 用 户 提供 对 宿主 网 络 的 认证 ， 并 且 保 证 了 RAND 的 新 鲜 度 。 
AUTN 由 3 个 字段 组 成 : AUTN=(SQNBAK，AMF，MAC)。 这 里 SQN 是 一 个 由 用 户 和 宿 
主 网 络 动态 维持 的 序号 (Sequence Number); AK 称 为 匿名 密 钥 (Anonymity Key)， 用 于 保护 
SQN 以 防 窃听 者 偷 听 ，AK 由 RAND 和 K 产生 ; AMF 是 认证 管理 字段 (Authentication 
Management Field)， 用 于 在 宿主 网 络 和 用 户 之 间 传 递 参数 ， MAC 是 一 个 消息 鉴别 码 ， 在 
RAND、SQN 和 AMF 上 利用 长 期 密 钥 计算 而 来 。 

AUTN 的 结构 和 认证 向 量 在 图 5-17 中 进行 了 直观 描述 。 
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图 5-17 UMTS 中 的 认证 向 量 及 AUTN 令 牌 的 构成 
2) 3G 接 入 认证 与 密 钥 协商 协议 
3G 网 络 中 的 接 入 安全 要 确保 的 内 容 包括 两 部 分 。 
(1) 提供 用 户 和 网 络 之 间 的 身份 认证 ， 以 保证 用 户 和 网 络 双方 的 实体 可 靠 性 。 
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(2) 空中 接口 安全 ， 主 要 用 于 保护 无 线 链 路 传输 的 用 户 和 信 令 信息 不 被 窃听 和 自 改 。 

前 者 需要 身份 认证 ， 后 者 需要 加 密 和 消息 完整 性 保护 ， 而 这 些 高 不 开 密 钥 ， 因 此 需要 
进行 密 钥 的 协商 。 安 全 协议 设计 时 ， 通 常 将 两 者 一 起 考虑 ， 以 提高 协议 的 效率 ， 减 少 消息 
交换 的 次 数 ， 即 先进 行 认证 ， 然 后 进行 密 钥 协商 ， 这 一 协议 机 制 称 为 认证 密 钥 协商 机 制 
(Authentication and Key Agreement，AKA)。 虽 然 在 前 面 的 章节 曾经 多 次 提 到 过 ， 但 这 里 的 
区 别 是 对 移动 性 的 支持 。 

3G 认证 与 密 钥 协商 协议 (3G AKA) 中 参与 认证 和 密 钥 协商 的 主体 有 用 户 终端 
(ME/USIM)、 被 访问 网 络 (Visitor Location Register/Servicing GPRS Support Node, VLR/SGSN) 
和 归属 网 络 (Home Environment/Home Location Register，HE/HLR)。 在 3G AKA 协议 中 ， 通 
过 用 户 认证 应 答 (RES) 实 现 VLR 对 ME 的 认证 ， 通 过 消息 鉴别 码 (MAC) 实 现 ME 对 HLR 的 
认证 ， 以 及 实现 了 ME 与 VLR 之 间 的 密 钥 分 配 ， 同 时 每 次 使 用 的 消息 鉴别 码 MAC 是 由 不 
断 递 增 的 序列 号 (SQN) 作 为 其 输入 变量 之 一 , 保证 了 认证 消息 的 新 鲜 性 ， 从 而 确保 了 密 钥 的 
新 鲜 性 ， 有 效 地 防止 了 重 放 攻击 。3G 认证 和 密 钥 协商 过 程 如 图 5-18 所 示 。 
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图 5-18 3G 认证 和 密 钥 协商 (AKA) 过 程 


移动 终端 (ME/USIM) 向 网 络 发 出 呼叫 接 入 请 求 ， 把 身份 标识 (IMSD 发 给 VLR。VLR 收 
到 该 注册 请 求 后 ， 向 用 户 的 HLR 发 送 该 用 户 的 IMSI， 请 求 对 该 用 户 进行 认证 。HLR 收 到 
VLR 的 认证 请 求 后 ， 生 成 序列 号 SQN 和 随机 数 RAND， 计 算 认 证 向 量 AV 并 发 送 给 VLR。 
其 中 ，AV = RAND 11 XRES 11 CK 111K 11 AUTN。 尤为 ME 和 HLR 共同 拥 

有 的 永久 性 密 钥 ， 写 入 ME 中 的 SIM 卡 中 。AYV 各 字段 的 计算 方法 如 图 5-19 所 示 。 
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5-19 生成 认证 向 量 AV 的 过 程 
表 5-2 总 结 了 AKA 中 使 用 到 的 5 个 函数 。 
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表 5-2 3G 接 入 安全 中 使 用 的 部 分 主要 函数 






















函数 名 函数 用 途 
而 | 随机 数 生成 函数 [RAND 
h | 消息 鉴别 函数 [xvacmac 
| 生成 期 望 的 应 答 的 鉴 权 函数 [xrEsRES 





加 密 密 钥 生 成 函数 
完整 性 密 钥 生 成 函数 
匿名 密 钥 生成 函数 


ME 接收 到 认证 请 求 后 ， 首 先 计 算 XMAC， 并 与 AUTN 中 的 MAC 比较 ， 若 不 同 ， 则 
向 VLR 发 送 拒绝 认证 消息 ， 并 放弃 该 过 程 。 同时，ME 验证 接收 到 的 SQN 是 否 在 有 效 的 范 
围 内 ， 若 不 在 有 效 的 范围 内 ，ME 则 向 VLR 发 送 “ 同 步 失败 ”消息 ， 并 放弃 该 过 程 。 上 述 
两 项 验证 通过 后 ，ME 计算 RES、CK 和 下 ， 并 将 RES 发 送 给 VLR。VLR 接收 到 来 自 ME 
内 RES 后 ,将 RES 与 认证 向 量 AV 中 的 XRES 进行 比较 ， 若 相同 则 ME 的 认证 成 功 ， 和 否则 
ME 认证 失败 。 最 后 ，ME 和 VLR 建立 的 共享 加 密 密 钥 是 CK， 数 据 完 整 性 密 钥 是 下。 


5.3.4 4G/4G+ 安 全 机 制 简介 

1. 4G 国际 标准 TD-LTE-A 

4G 通信 将 能 满足 3G 不 能 达到 的 覆盖 范围 、 通 信和 质量 、 高 速 传输 率 和 高 分 辩 率 多 媒体 
服务 , 通常 也 被 称 为 多 媒体 移动 通信 。4G 的 数据 传输 率 可 达到 10M~20 Mb/s， 最 高 甚至 达 
到 100Mb/s。 其 中 TD-LTE 下 行 速率 100Mb/s， 上 行 速率 50Mb/s，3GPP LTE(Long Teml 
Evolution, 长 期 演进 ) 包 括 两 种 制式 : LTE TDD( 时 分 双 工 ) 和 LTE FDD( 频 分 双 工 )。 其 中 LTE 
TDD 就 是 TD-LTE 技术 ， 它 吸纳 了 很 多 TD-SCDMA 的 技术 元 素 ， 拓 展 了 TD-SCDMA 在 
智能 天 线 、 系 统 设计 等 方面 的 关键 技术 和 我 国 的 自主 知识 产权 ， 具 有 高 效益 低 时 延 、 高 带 
宽 低 成 本 等 特点 和 优势 ， 系 统 能 力 与 LTE FDD 相当 。TD-LTE-Advanced(TD-LTE-A) 技 术 方 
案 已 经 于 2010 年 10 月 被 国际 电信 联盟 ITU 确定 为 4G 的 两 个 国际 标准 之 一 ,在 未 来 大 规模 
使 用 具有 自主 知识 产权 的 TD-LTE-A 标准 发 展 4G 对 我 国 将 具有 极其 重要 的 战略 意义 。 

据 2012 年 2 月 人 民 网 的 消息 ，TD-LTE 产业 链 已 受到 包括 中 国 移动 、 日 本 软银 、 沃 达 
丰 、 德 国电 信 等 一 批 国内 外 主流 运营 商 的 认可 和 接纳 , 在 全 球 已 建设 33 个 试验 网 , 截至 2015 
年 ， 全 球 有 285 个 运营 商 在 超过 93 个 国家 部 署 了 FDD 4G 网 络 ， 全 球 已 有 26 个 国家 开通 
了 42 张 TD-LTE 商用 网 ， 另 有 76 张 商用 网 络 正在 计划 部 署 中 。 中 国 移动 的 TD-LTE 规模 
试验 网 部 署 项 目 采 取 “6+1” 方 案 ， 初 期 投资 15 亿 人 民 币 建 网 覆盖 上 海 、 杭 州 、 南 京 、 广 
州 、 深 圳 、 厦 门 六 个 城市 ， 每 个 城市 将 部 署 约 200 个 基站 ;并 在 北京 建 TD-LTE 演示 网 。 

2. LTE 中 的 流 密码 算法 ZUC 

ZUC 算法 (祖冲之 密码 算法 ，ZUC 是 我 国 古代 数学 家 祖冲之 名 字 的 缩写 ) 是 中 国 通信 标 
准 协会 CCSA(China Communications Standards Association) 推 荐 给 3GPP LTE 使 用 的 新 

目前 ZUC 算法 已 通过 了 算法 标准 组 ETSI SAGE 的 内 部 评估 ，ETSI SAGE 认为 该 算法 
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强壮 ， 并 推荐 在 LTE 标准 中 使 用 。ZUC 算法 目前 处 于 公开 评估 阶段 。ZUC 算法 是 第 一 个 成 
为 国际 标准 的 我 国 自主 知识 产权 的 密码 算法 ， 是 我 国 商用 密码 算法 首次 走出 国门 ， 具 有 重 
要 的 历史 意义 。ZUC 算法 的 国际 标准 化 ， 对 我 国 按照 国际 惯例 掌握 通信 产业 的 主动 权 具 有 
非常 重要 的 意义 。 

ZUC 算法 由 中 国 科 学 院 数 据 保护 和 通信 安全 研究 中 心 (DACAS) 研 制 。LTE 算法 的 核心 
是 ZUC 算法 ; 由 ZUC 定义 的 LTE 加 密 算法 ， 称 为 128-EEA3: 由 ZUC 定义 的 LTE 完整 性 
保护 算法 ， 称 为 128-EIA3。 

ZUC 是 一 个 面向 字 (Word-Oriented) 的 流 密码 算法 。 输 入 是 128 位 的 初始 密 钥 和 128 位 
的 初始 向 量 , 输出 是 一 个 32 位 字 ( 也 称 为 密 钥 字 , Key-word)。 这 一 密 钥 字 可 用 于 加 密 。ZUC 
的 执行 有 两 个 阶段 :初始 阶段 和 工作 阶段 。 在 初始 阶段 ， 密 钥 /TV 将 初始 化 ， 耗 费时 钟 周期 
但 没有 产生 输出 : 在 工作 阶段 ， 每 个 时 钟 周期 都 会 输出 一 个 32 位 的 字 。 

1) ZUC 算法 的 整体 架构 

ZUC 具有 3 个 逻辑 层 ， 如 图 5-20 所 示 。 最 上 层 是 一 个 具有 16 个 单元 的 线性 反馈 移 位 
寄存 器 (Linear Feedback Shift Register, LFSR), 中 间 层 是 一 个 比特 混淆 器 (Bit-Reorganization， 
BR)， 最 下 层 是 一 个 非 线性 函数 下 。 
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5-20 ZUC 算法 整体 架构 


2) ZUC 的 执行 
ZUC 的 执行 有 两 个 阶段 : 初始 化 阶段 和 工作 阶段 。 初始 化 阶段 算法 调用 密 钥 装载 过 程 ， 
将 128 位 初始 密 钥 和 128 位 初始 向 量 IV 装载 到 LFSR 中 , 令 32 位 存储 单元 Ri 和 Rs 全 为 0。 
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5.4 扩展 接 入 网 的 安全 


除了 上 述 介绍 的 近 距 离 无 线 (高 速 ) 接 入 和 远 距 离 无 线 (高 速 ) 接 入 以 外 ， 物 联网 的 接 入 技 
术 还 可 以 是 近 距 离 无 线 低 速 接 入 ， 如 蓝牙 和 ZigBee， 以 及 近 距 离 有 线 接 入 ， 如 局 域 网 
Ethermet(IEEE 802.3) 和 现场 总 线 。 本 节 主 要 介绍 近 距 离 无 线 低速 接 入 网 络 、 手 机 电视 协议 
CMMB 系统 和 北斗 卫星 导航 定位 系统 及 其 安全 分 析 , 以 促进 对 自主 创新 的 关注 和 二 次 开发 。 
手机 电视 以 及 卫星 定位 导航 系统 也 都 可 视 为 物 联网 中 的 关键 应 用 。 


5.4.1 近 距 离 无 线 低速 接 入 网 安全 
本 节 介 绍 近 距离 无 线 低速 接 入 方法 的 典型 代表 Bluetooth 和 ZigBee。 
1. Bluetooth 安全 简介 


蓝牙 (Bluetooth) 是 爱立信 公司 在 1994 年 开始 研究 的 一 种 能 使 手机 与 其 附件 (如 耳机 ) 之 
间 互 相通 信 的 无 线 模块 。 它 的 工作 频率 为 2.4 GHz， 有 效 范围 大 约 在 10 米 半 径 内 。 蓝 牙 被 
列 入 了 IEEE 802.15.1 规范 ， 规 定 了 PHY、MAC、 网 络 和 应 用 层 等 集成 协议 栈 。 蓝 牙 技术 
可 解决 小 型 移动 设备 间 的 短 距离 无 线 互联 问题 。 安 全 性 是 整个 蓝牙 协议 中 非常 重要 的 一 部 
分 ， 协 议 在 应 用 层 和 链 路 层 均 提供 了 安全 措施 。 蓝 牙 技术 是 一 种 无 线 数据 与 语音 通信 的 开 
放 性 全 球 规范 ， 它 以 低 成 本 的 短 距离 无 线 通 信 为 基础 ， 为 固定 与 移动 设备 的 通信 环境 提供 
特别 连接 的 通信 技术 。 由 于 蓝牙 技术 具有 可 以 方便 快速 地 建立 无 线 连 接 、 移 植 性 较 强 、 安 
全 性 较 高 且 蓝牙 地 址 唯一 、 支 持 皮 可 网 与 分 散 网 等 组 网 工作 模式 、 设 计 开 发 简单 等 优点 ， 
近 几 年 来 在 众多 短 距 离 无 线 通信 技术 中 备 受 关注 。 蓝 牙 是 一 种 低 功率 近 距 离 无 线 通信 技术 ， 
可 以 用 来 实现 10 米 范围 内 的 8 台 设 备 的 互联 。 蓝 牙 有 3 种 安全 模式 ， 最 低级 别 的 安全 模式 
即 没有 任何 安全 机 制 ， 中 等 级 别 的 安全 模式 通过 安全 管理 器 有 选择 性 地 执行 认证 和 加 密 ， 
最 高 级 别 的 模式 在 链 路 层 执行 认证 、 授 权 和 加 密 。 

蓝牙 作为 一 种 短 距离 无 线 通信 技术 ， 与 其 他 网 络 技术 一 样 存在 着 数据 传输 的 各 种 安全 
隐患 ， 近 些 年 来 很 多 研究 人 员 致力 于 这 方面 的 研究 ， 提 出 了 一 些 行 之 有 效 的 安全 算法 和 控 
制 访问 方法 。 蓝 牙 技术 主要 面临 4 个 方面 的 安全 问题 : 四 蓝牙 设备 地 址 攻击 ; @ 密 钥 管 理 
问题 ，@PTN 代码 攻击 ; 四 蓝牙 不 支持 用 户 认 证 。 

蓝牙 规范 (Volumel1，Specification of Bluetooth System) 中 包括 了 链 路 级 安全 内 容 ， 主 要 
措施 是 链 路 级 的 认证 和 加 密 等 。 该 规范 规定 每 个 设备 都 有 一 个 PIN 码 ， 它 被 变换 成 128 位 
的 链 路 密 钥 (Link Key) 进 行 单 /双向 认证 ,蓝牙 安全 机 制 依赖 PIN 码 在 设备 间 建 立 的 这 种 信任 
关系 ， 一 旦 信任 关系 建立 以 后 ， 就 可 以 利用 存储 的 链 路 密 钥 进行 以 后 的 连接 。 利 用 链 路 密 
钥 可 以 生成 加 密 密 钥 ， 对 链 路 层 数据 有 效 载 荷 进 行 加 密 保护 。 链 路 层 安 全 机 制 提供 了 多 种 
认证 方案 和 一 个 灵活 的 加 密 方案 ( 即 允 许 协商 密 钥 长 度 )， 但 链 路 级 安全 存在 明显 的 不 足 : 蓝 
牙 的 认证 是 基于 设备 的 ， 而 不 是 基于 用 户 ; 对 服务 没有 进行 区 分 ， 没 有 针对 每 个 蓝牙 设备 
的 授权 服务 的 机 制 。 

在 蓝牙 规范 (Volume 2，Specification of Bluetooth System) 中 ， 在 链 路 级 安全 基础 之 上 又 
提出 了 服务 级 安全 的 概念 ， 这 里 蓝牙 安全 被 分 为 3 个 模式 。 
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(1) 无 安全 模式 : 蓝牙 设备 不 采取 任何 安全 措施 。 

(2) 服务 级 安全 模式 : 蓝牙 设备 在 L2CAP 之 上 采取 安全 措施 ， 对 不 同 的 应 用 服务 提供 
灵活 的 接 入 控制 。 

(3) 链 路 级 安全 模式 : 蓝牙 设备 在 LMP 建立 连接 之 前 开始 安全 过 程 。 

在 服务 级 安全 中 ， 服 务 被 分 为 需要 认证 、 需 要 授权 、 不 需要 三 个 级 别 ， 其 中 需要 认证 / 
需要 授权 可 以 同时 设 定 需要 加 密 .设备 被 分 为 可 信赖 设备 (通过 认证 和 授权 )、 不 可 信 设 备 ( 通 
过 认证 但 未 被 授权 ) 和 未 知 设备 (没有 任何 此 设备 的 信息 )。 

以 蓝牙 安全 管理 体系 结构 为 参考 模型 ， 在 实现 链 路 级 安全 的 基础 之 上 ， 通 过 对 蓝牙 协 
议 进行 深入 的 研究 ， 对 安全 管理 器 和 蓝牙 协议 栈 进行 合理 的 设计 ， 实 现 服务 级 的 安全 。 这 
里 的 设计 是 针对 有 人 机 接口 的 环境 的 。 

蓝牙 安全 管理 体系 结构 中 ， 安 全 管理 器 是 蓝牙 安全 管理 体系 结构 的 核心 。 安 全 管理 器 

有 如 下 功能 : 通过 HC1 命令 要 求 链 路 层 对 设备 进行 认证 并 返回 响应 的 结果 ; 要求 链 路 层 对 
数据 进行 加 密 ; 根据 服务 数据 库 和 设备 数据 库 的 资料 确定 蓝牙 设备 是 否 可 以 接 入 所 请 求 的 
服务 ， 通 过 用 户 界 面 让 用 户 对 未 知 设备 进行 授权 ; 对 用 户 和 设备 的 资料 进行 管理 。 
由 于 安全 管理 器 与 各 层 协 议 、 应 用 和 其 他 实体 之 间 的 接口 是 简单 的 询问 /应 答 和 注册 过 
程 ， 因 此 可 以 容易 地 实现 各 种 灵活 的 接 入 策略 。 在 安全 体系 结构 中 ，L2CAP 和 RFCOMM 
是 复 用 协议 ， 它 们 负责 查询 安全 管理 器 ， 从 而 控制 其 他 设备 对 其 上 的 服务 的 接 入 ; 用 户 接 
口 用 于 对 设备 进行 授权 和 管理 ， 应 用 程序 负责 向 安全 管理 器 注册 自己 的 服务 级 别 以 及 其 下 
层 的 协议 ， 由 于 服务 有 可 能 是 其 他 协议 (如 PPP 等 )， 其 上 可 能 有 其 他 应 用 服务 ， 所 以 它 可 以 
通过 查询 安全 管理 器 实现 对 其 上 层 的 接 入 控制 。 

2. ZigBee 安全 简介 


1) ”ZigBee 技术 简介 

2000 年 ，IEEE 成 立 了 IEEE 802.15.4 工作 组 ， 致 力 于 开发 一 种 可 应 用 在 固定 便携 或 移 
动 设 备 上 的 低 成 本 、 低 功 耗 及 多 节点 的 低速 率 无 线 个 域 网 (LR-WPAN) 技 术 标准 ， 但 该 工作 
组 只 专注 MAC 层 和 物理 层 协议 ， 要 达到 产品 的 互 操作 和 兼容 ， 还 需要 定义 高 层 的 规范 。 
2001 年 , 美国 霍 尼 韦 尔 等 公司 发 起 成 立 了 ZigBee 联盟 。ZigBee 联盟 所 主导 的 ZigBee 标准 
定义 了 网 络 层 、 安 全 层 、 应 用 层 和 各 种 应 用 产品 的 资料 或 规范 ， 并 对 其 网 络 层 协议 和 应 用 
编程 接口 (APD 进 行 了 标准 化 。 

值得 注意 的 是 ，ZigBee 提供 了 高 可 靠 性 的 安全 服务 ， 它 的 安全 服务 所 提供 的 方法 包括 
密码 建立 、 密 码 传输 、 帧 保护 和 设备 管理 。 这 些 服务 构成 了 一 个 模块 ， 用 于 实现 ZigBee 设 
备 的 各 类 安全 策略 。 

2) ”ZigBee 技术 的 特点 

ZigBee 技术 不 仅 具 有 低 成 本 、 低 功 耗 、 低 速率 、 低 复杂 度 的 特点 ， 而 且 具 有 可 靠 性 高 、 
组 网 简单 、 灵 活 的 优势 。ZigBee 技术 和 其 他 无 线 通信 技术 相 比 ， 有 如 下 特点 。 

(1) 低 功 耗 。 由 于 ZigBee 的 传输 速率 低 ， 发 射 功率 仅 为 ImW， 而 且 采 用 了 休眠 模式 
功 耗 低 ， 因 此 ZigBee 设备 非常 省 电 。 据 估算 ，ZigBee 设备 仅 靠 两 节 5 号 电池 就 可 以 维持 长 
达 6 个 月 到 2 年 的 使 用 时 间 。 

(2) 成 本 低 。ZigBee 模块 的 成 本 低廉 ， 且 ZigBee 协议 是 免 专利 费 的 。 
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(3) 时 延 短 。ZigBee 的 通信 时 延 和 从 休眠 状态 激活 的 时 延 都 非常 短 ， 典 型 的 搜索 设备 
时 延 为 30 ms， 而 蓝牙 需要 3 一 10s，WiFi 需要 3 s; 其 休眠 激活 的 时 延 是 15 ms， 活动 设备 
信道 接 入 的 时 延 为 15 ms。 因 此 ZigBee 技术 适用 于 对 时 延 要 求 苛刻 的 无 线 控制 (如 工业 控制 
场合 等 ) 应 用 。 

(4) 低速 率 。ZigBee 工作 在 20 一 250 Kb/s 的 较 低速 率 , 分 别提 供 250 Kb/s(2.4 GHz)、40 
Kb/s(915MHz) 和 20 Kb/s(868 MHz) 的 数据 吞吐 率 ， 满 足 低速 率 传输 数据 的 应 用 需求 。 

(5) 近 距 离 。 传 输 范 围 一 般 介 于 10 一 100m 之 间 , 在 增加 发 射 功 率 后 ， 亦 可 增加 到 1~ 
3 km。 

(6) 网 络 容量 大 。 一 个 星 型 结构 的 ZigBee 网 络 最 多 可 以 容纳 254 个 从 设备 和 一 个 主 设 
备 , 且 网 络 组 成 灵活 , 一 个 区 域内 最 多 可 以 同时 存在 100 个 独立 而 且 互 相 重 登 覆盖 的 ZigBee 
网 络 。 这 一 点 与 蓝牙 相 比 优势 明显 。 

正 因为 上 述 特点 ，Zigbee 在 无 线 传感器 网 络 的 组 网 节点 中 有 大 量 的 应 用 。 

3) ”ZigBee 安全 架构 

IEEE 802.15.4-2003 标准 定义 了 最 下 面 的 两 层 ， 物理 层 (PHY) 和 MAC 层 。ZigBee 联盟 
在 此 基础 上 建立 了 网 络 层 (NWK 层 ) 和 应 用 层 (APS) 框 架 。PHY 层 提 供 基本 的 物理 无 线 通信 
能 力 : MAC 层 提供 设备 间 的 可 靠 性 授权 和 单 跳 通信 连接 服务 。NWK 层 提供 用 于 构建 不 同 
网 络 拓扑 结构 的 路 由 和 多 跳 功 能 。 应 用 层 的 框架 包括 了 应 用 支持 子 层 APS)、ZigBee 设备 对 
象 (ZDO) 和 由 制造 商 制定 的 应 用 对 象 (ZDO) 负 责 所 有 设备 的 管理 。APS 提供 ZigBee 应 用 的 
基础 。ZigBee 具体 有 3 层 安 全 机 制 : MAC、NWK 和 APS 负责 各 自 帧 的 安全 传输 。 而 且 ， 
APS 子 层 提供 建立 和 保持 安全 关系 的 服务 ，ZDO 管理 安全 性 策略 和 设备 的 安全 性 结构 。 

4) “安全 密 钥 

网 络 中 ZigBee 设备 的 安全 性 是 以 一 些 连接 密 钥 (Link Key) 和 一 个 网 络 密 钥 (Network Key) 
为 基础 的 。 应 用 层 (APS) 对 等 实体 间 的 单 播 通信 安全 是 依靠 由 两 个 设备 共享 的 一 个 128 位 连 
接 密 钥 保 证 ， 而 广播 通信 安全 则 依靠 由 网 络 中 所 有 设备 共享 的 一 个 128 位 网 络 密 钥 保 证 。 
接收 方 通常 知道 帧 是 被 连接 密 钥 保护 还 是 网 络 密 钥 保护 。 

设备 获得 连接 密 钥 可 以 通过 密 钥 传 输 、 密 钥 协商 或 者 预 安装 等 方式 中 的 任意 一 种 。 而 
网 络 密 钥 是 通过 密 钥 传输 或 者 预 安装 的 方式 获得 ， 用 于 获取 连接 密 钥 的 密 钥 协商 技术 是 基 
于 主 密 钥 (Master Key)。 一 个 设备 将 通过 密 钥 传输 或 者 预 安装 方式 获取 一 个 主 密 钥 来 制定 相 
应 的 连接 密 钥 。 设 备 间 的 安全 性 就 是 依靠 这 些 密 钥 的 安全 初始 化 和 安装 来 实现 。 

网 络 密 钥 可 能 被 ZigBee 的 MAC、NWK 和 APL 层 使 用 ， 也 就 是 说 ， 相 同 的 网 络 密 钥 
和 相关 联 的 输入 /输出 帧 计数 器 对 所 有 层 都 是 有 效 的 。 连 接 密 钥 和 主 密 钥 可 能 只 被 APS 子 层 
使 用 。 连 接 密 钥 和 主 密 钥 只 在 APL 层 有 效 。 

ZigBee 技术 针对 不 同 的 应 用 ， 提 供 了 不 同 的 安全 服务 。 这 些 服务 分 别 作 用 在 MAC 层 、 
NWK 层 和 APL 层 上 ， 对 数据 加 密 和 完整 性 保护 是 在 CCM* 模 式 下 执行 AES-128 加 密 算法 
实现 的 。 

5) ”MAC 层 安 全 

MAC 层 负责 来 源 于 本 层 的 帧 的 安全 性 处 理 ， 但 由 上 层 决 定 ZigBee 使 用 哪个 安全 级 别 ， 
需要 安全 性 处 理 的 MAC 层 帧 会 通过 相应 的 安全 级 别处 理 。 由 上 层 设 置 参数 使 之 与 活动 的 网 
络 密 钥 和 NWK 层 计 数 器 相对 应 ， 上 层 设置 的 安全 级 别 与 NIB 中 属性 相对 应 。MAC 层 密 钥 
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是 首选 密 钥 ， 但 若 无 MAC 层 密 钥 ， 就 使 用 默认 密 钥 。 

当 来 自 NWK 层 的 帧 需要 保护 ， 或 者 来 自 更 高 层 的 帧 且 网 络 层 信息 库 (Network 
Information Base，NIB) 中 属性 为 TRUE 时 ，ZigBee 使 用 帧 保护 机 制 。NIB 中 的 属性 给 出 保 
护 NWK 帧 的 安全 级 别 。 上 层 通过 建立 网 络 密 钥 ， 决 定 使 用 哪个 安全 级 别 来 保护 NWK 层 。 
通过 多 跳 连 接 传送 消息 是 NWK 层 的 一 个 职责 ，NWK 层 会 广播 路 由 请 求 信息 并 处 理 收 到 的 
路 由 回复 消息 。 同 时 ， 路 由 请 求 消息 会 广播 到 其 他 设备 ， 邻 近 设 备 则 回复 路 由 应 答 消息 。 
若 连 接 密 钥 使 用 适当 ，NWK 层 将 使 用 连接 密 钥 保护 输出 NWK 帧 的 安全 ; 若 没有 适当 的 连 
接 密 钥 ， 为 了 保护 信息 ，NWK 将 使 用 活动 的 网 络 密 钥 保护 输出 NWK 帧 。 帧 的 格式 明确 给 
出 保护 帧 的 密 钥 ， 因 此 接收 方 可 以 推断 出 处 理 帧 的 密 钥 。 另 外 ， 帧 的 格式 也 决定 消息 是 所 
有 网 络 设备 都 可 读 ， 而 不 是 仅仅 自身 可 读 。 

7) APL 层 安 全 
当 来 自 APL 层 的 帧 需要 安全 保护 时 ，APS 子 层 将 会 处 理 其 安全 性 ，APS 层 的 帧 保护 机 
制 是 基于 连接 密 钥 或 网 络 密 钥 的 。 另 外 ，APS 层 支持 应 用 ， 提 供 ZDO 的 密 钥 建 立 、 密 钥 传 
输 和 设备 管理 等 服务 。 

8) ”有 安全 保障 的 帧 的 形式 

NKW 层 负责 处 理 需 要 安全 地 传输 输出 帧 和 安全 地 接 入 输出 帧 的 步骤 。 上 层 通过 设 定 适 
当 的 密 钥 、 帧 计数 器 和 确定 需要 使 用 的 安全 等 级 ， 控 制 安全 流程 的 操作 。NK W 层 帧 格式 由 
NKW 头 和 NKW 有 效 载荷 字段 组 成 。NKW 头 由 帧 控制 和 路 由 字段 构成 。 当 安全 策略 被 应 
用 到 一 个 网 络 层 协议 数据 单元 NPDU) 帧 ， 在 NKW 帧 控制 字段 的 安全 位 应 设置 为 1， 表 示 
辅助 帧 首部 的 出 现 。 辅 助 帧 首部 应 包括 一 个 安全 控制 字段 和 一 个 帧 计数 器 字段 ， 可 能 还 包 
括 发 件 人 地 址 字段 和 关键 序列 号 字段 。 有 安全 保证 的 NKW 层 的 帧 格式 如 表 5-3 所 示 。 


表 5-3 NKW 层 帧 格式 
































加 密 有 效 载 荷 ， 加 密 信息 完整 性 编码 


安全 帧 有 效 载 荷 : CCM* 的 输出 
全 双 工 网 络 包头 安全 网 络 有 效 载荷 


(1) 辅助 帧 首部 介 于 NKW 首部 和 有 效 载荷 字段 之 间 ， 其 帧 头 的 格式 如 表 5-4 所 示 。 
表 5-4 ”辅助 帧 首部 格式 








Octets: 1 
安全 控制 
(2) 有 安全 保证 的 NKW 层 帧 在 帧 首部 需要 源 地 址 字段 和 关键 序列 号 字段 。 


有 安全 保证 的 APS 层 框 架 不 需要 辅助 帧 头 中 的 源 地 址 字段 ， 但 是 它 可 以 选择 在 辅助 帧 
首部 的 关键 序列 号 字段 。 有 安全 保证 的 APS 层 的 帧 格式 如 表 5-5 所 示 。 


0 
关键 字 序 列 号 
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物 联网 安全 技术 


表 5-5 APS 层 的 帧 格式 










Octets 字 节 


变 量 
加 密 有 效 载荷 ， 加 密 信息 完整 性 编码 
安全 帧 有 效 载荷 :CCM* 的 输出 


安全 应 用 支持 有 效 载荷 

















初始 应 用 支持 包头 











全 双 工 网 络 包头 


最 后 讨论 两 个 容易 混淆 的 问题 。 

@@ ZigBee 与 IEEE 802.15.4 的 区 别 。 

ZigBee 建立 在 IEEE 802.15.4 标准 之 上 。IEEE 802.15.4 是 IEEE 确定 的 低速 无 线 个 域 网 
(Personal Area Network) 标 准 , 这 个 标准 定义 了 PHY 层 和 MAC 层 。 PHY 层 规 范 主要 是 确定 
了 2.4 GHz 的 250 Kb/s 的 基准 传输 率 ; MAC 规范 定义 了 同一 区 域 工作 的 多 个 802.15.4 无 线 
电信 号 如 何 共享 无 线 信道 。IEEE 802.15.4 支持 几 种 架构 ， 包 括 星 型 拓扑 、 树 状 拓扑 、 网 状 
拓扑 。 但 仅仅 定义 PHY 和 MAC 不 足以 保证 不 同 的 设备 之 间 可 以 对 话 ， 于 是 便 有 了 ZigBee 
联盟 。ZigBee 从 IEEE 802.15.4 标准 入 手 ， 定 义 允 许 不 同 厂商 设备 相互 对 话 的 应 用 规范 。 
ZigBee 联盟 规范 了 网 络 层 和 应 用 层 。 协 议 中 有 作为 Hub 功能 的 协调 器 节点 和 基本 节点 。 每 
个 协调 器 节点 可 以 连接 多 达 255 个 节点 ， 几 个 协调 器 节点 可 以 构成 一 个 网 络 。Zigbee 联 
盟 还 定义 了 安全 层 。 

@ ZigBee 正 向 全 迁移 。 

ZigBee 架构 与 IP 架构 是 不 兼容 的 ， 这 导致 ZigBee 网 络 与 基于 IP 的 服务 与 应 用 一 起 部 
署 时 ,会 产生 严重 的 问题 。 基 于 ZigBee 的 网 络 与 IP 网 络 需要 通过 网 关 才能 通信 ， 网 关 需 要 
完整 的 ZigBee 协议 栈 和 人 P 协议 栈 ， 这 导致 了 很 大 的 硬件 和 软件 成 本 。 因 此 ，ZigBee 联盟 
在 2009 年 宣布 在 最 新 的 智能 电网 应 用 规范 中 ， 将 向 基于 IP 的 架构 迁移 。 


5.4.2 ”有 线 网 络 接 入 安全 


物 联网 接 入 的 特征 在 于 网 络 的 融合 性 ， 即 网 络 接 入 方式 可 以 是 多 种 多 样 的 。 例 如 有 线 
网 络 接 入 方法 还 包括 PSTN(Public Switched Telephone Network， 公 共 交 换 电话 网 络 ) 拨 号 接 
入 、ADSL(Asymmetric Digital Subscriber Line， 非 对 称 数字 用 户 线路 ) 等 公 网 接 入 方法 ,或 者 
是 专 网 接 入 (如 校园 网 、 中 国教 育 科研 网 CERNET 等 )。 在 三 网 融合 (电信 网 、 有 线 电视 网 、 
计算 机 网 络 ) 的 目标 下 ， 有 线 电 视 (Community Antenna Television，CATV)、 各 种 独立 网 络 布 
线 商 的 高 速 宽带 接 入 (如 光纤 到 户 FTTH，Fiber To The Home， 长 城 宽带 )， 也 可 以 连接 互联 
网 。 还 有 一 种 特殊 的 接 入 方式 是 电力 线 通 信 (Power Line Communication, PLC) 接 入 方式 ， 即 
通过 电力 线 传送 数据 的 方法 。 

物 联网 的 一 个 基本 应 用 就 是 改造 传统 的 工业 控制 领域 ， 如 传感器 和 制动器 的 组 网 、 远 
程控 制 、 无 线 控制 等 。 物 联网 把 IT 技术 融合 到 控制 系统 中 ， 实 现 “ 高 效 、 安 全 、 节 能 、 环 
保 ” 的 “ 管 、 控 、 营 ”一 体 化 。 本 节 中 将 简介 工业 控制 领域 的 有 线 网 络 安 全 问题 。 


1. 现场 总 线 简介 


1) “现场 总 线 定义 
现场 总 线 是 指 以 工厂 内 的 测量 和 控制 机 器 间 的 数字 通信 为 主 的 网 络 ， 也 就 是 将 传感器 、 
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各 种 操作 终端 和 控制 器 间 的 通信 及 控制 器 之 间 的 通信 进行 特殊 化 的 网 络 。IEC(Imntemational 
Electrotechnical Commission， 国 际 电 工 委员 会 ) 对 现场 总 线 的 定义 为 : 现场 总 线 是 一 种 应 用 
于 生产 现场 ， 在 现场 设备 之 间 、 现 场 设 备 和 控制 装置 之 间 实 行 双向 、 串 行 、 多 节点 的 数字 
通信 技术 。 它 在 生产 现场 、 微 机 化 测量 控制 设备 之 间 实 现 双向 串 行 多 节点 数字 通信 ， 也 被 
称 为 开放 式 、 数 字 化 、 多 点 通信 的 底层 控制 网 络 。 现 场 总 线 在 制造 业 、 工 业 流程 、 交 通 、 
楼 宇 等 方面 的 自动 化 系统 中 具有 广泛 的 应 用 。 不 同 于 计算 机 网 络 ， 在 现场 总 线 领域 人 们 必 
须 面 对 多 种 总 线 技 术 标 准 共存 的 现实 ， 其 技术 发 展 很 大 程度 上 受到 市 场 规律 、 商 业 利益 的 
制约 。 

2) “现场 总 线 简 介 

常见 的 现场 总 线 介绍 如 下 。 

(1) 基金 会 现场 总 线 (Foundation Fieldbus，FF)。FF 总 线 以 美国 Fisher-Rosemount 公 
司 为 首 联合 了 横 河 、ABB、 西 门 子 等 80 家 公司 制定 的 ISP 协议 ， 和 以 Honeywell 公司 为 首 
的 联合 欧洲 等 地 150 余 家 公司 制定 的 World FIP 协议 ， 于 1994 年 9 月 合并 而 成 。 该 总 线 在 
过 程 自动 化 领域 得 到 了 广泛 的 应 用 ， 具 有 良好 的 发 展 前 景 。 基 金 会 现场 总 线 采 用 国际 标准 
化 组 织 ISO 的 开放 系统 互联 OSI 的 简化 模型 (1，2，7 层 )， 即 物理 层 、 数 据 链 路 层 、 应 用 层 ， 
另外 增加 了 用 户 层 。FF 分 低速 Hl 和 高 速 H2 两 种 通信 速率 ， 前 者 传输 速率 为 31.25 Kb/s， 
通信 距离 可 达 1900 m， 可 支持 总 线 供 电 和 本 质 安全 防爆 环境 。 后 者 传输 速率 为 1Mb/s 和 
2.5Mb/s， 通 信 距 离 为 730 m 和 500 m， 支 持 双 绞 线 、 光 缆 和 无 线 发 射 ， 协 议 符合 IEC1158-2 
标准 。FF 的 物理 媒介 的 传输 信号 采用 曼彻斯特 编码 。 

(2) CAN(Controller Area Network， 控 制 器 局 域 网 ]。CAN 总 线 最 早 由 德国 BOSCH 公 
司 推出 ， 它 广泛 用 于 离散 控制 领域 ， 其 总 线 规范 已 被 ISO 国际 标准 化 组 织 制定 为 国际 标准 ， 
得 到 了 Intel、Motorola、NEC 等 公司 的 支持 。CAN 协议 分 为 二 层 : 物理 层 和 数据 链 路 层 。 
CAN 的 信号 传输 采用 短 帧 结构 ， 传 输 时 间 短 ， 具 有 自动 关闭 功能 ， 具 有 较 强 的 抗 干扰 能 力 。 
CAN 采用 了 非 破 坏 性 总 线 仲裁 技术 ,通过 设置 优先 级 来 避免 冲突 ,通信 距离 最 远 可 达 10km， 
通信 速率 最 高 可 达 40 Mb/s， 网 络 节点 数 实际 可 达 110 个 。 

(3) Lonworks 总 线 。Lonworks 总 线 由 美国 Echelon 公司 推出 ,并 由 Motorola、 Toshiba 
公司 共同 倡导 。 它 采用 ISO/OSI 模型 的 全 部 七 层 通信 协议 ， 面 向 对 象 的 设计 方法 ， 通 过 网 
络 变量 把 网 络 通信 设计 简化 为 参数 设置 。 支 持 双 绞 线 、 同 轴 电 缆 、 光 缆 和 红外 线 等 多 种 通 
信介 质 ， 通信 速 率 从 300 b/s 至 1.5 Mb/s 不 等 ， 直接 通 信 距 离 可 达 2700 m， 被 誉 为 通用 控制 
网 络 。Lonworks 技术 采用 的 LonTalk 协议 被 封装 到 Neuron 的 芯片 中 ， 并 得 以 实现 。 采 用 
Lonworks 技术 和 Neuron 芯片 的 产品 ， 被 广泛 应 用 在 楼 宇 自动 化 、 家 庭 自 动 化 、 保 安 系统 、 
办 公设 备 、 交 通 运输 、 工 业 过 程控 制 等 行业 。 

(4) DeviceNet 总 线 。DeviceNet 总 线 是 一 种 低 成 本 的 通信 连接 ， 也 是 一 种 简单 的 网 络 
解决 方案 , 有 着 开放 的 网 络 标准 .DeviceNet 基于 CAN 技术 , 传输 率 为 125 Kb/s 至 500 Kb/s， 
每 个 网 络 的 最 大 节点 为 64 个 ， 其 通信 模式 为 : 生产 者 /客户 (Producer/Consumer)， 采 用 多 信 
道 广播 信息 发 送 方式 。 位 于 DeviceNet 网 络 上 的 设备 可 以 自由 连接 或 断 开 , 不 影响 网 上 的 其 
他 设备 ， 而 且 其 设备 的 安装 布线 成 本 也 较 低 。 

(5) PROFIBUS 总 线 。PROFIBUS 是 德国 标准 (DIN19245) 和 欧洲 标准 (EN50170) 的 现场 
总 线 标准 ， 由 PROFIBUS-DP、PROFIBUS-FMS、PROFIBUS-PA 系列 组 成 。 PROFIBUS-DP 
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用 于 分 散 外 设 间 高 速 数据 传输 ， 适 用 于 加 工 自动 化 领域 ; PROFIBUS-FMS 适用 于 纺织 、 楼 
宇 自动 化 、 可 编程 控制 器 、 低 压 开 关 等 , PROFIBUS-PA 为 用 于 过 程 自动 化 的 总 线 类 型 ， 服 
从 IEC1158-2 标准 。PROFIBUS 支持 主 从 系统 、 纯 主 站 系统 、 多 主 多 从 混合 系统 等 几 种 传 
输 方式 ,PROFIBUS 的 传输 速率 为 9.6 Kb/s 至 12 Mb/s, 最 大 传输 距离 在 9.6 Kb/s 下 为 1200m， 
在 12 Mb/s 下 为 200 m， 可 采用 中 继 器 延长 至 10 km， 传输 介质 为 双 绞 线 或 者 光 绕 ， 最 多 可 
挂 接 127 个 站 点 。 

(6) HART 总 线 ,.HART(Highway Addressable Remote Transducer) 最 早 由 Rosemount 公 
司 开发 。 其 特点 是 在 现 有 模拟 信号 传输 线 上 实现 数字 信号 通信 ， 属 于 模拟 系统 向 数字 系统 
转变 的 过 渡 产 品 。 其 通信 模型 采用 物理 层 、 数 据 链 路 层 和 应 用 层 三 层 ， 支 持 点 对 点 主 从 应 
答 方式 和 多 点 广播 方式 。 由 于 它 采 用 模拟 数字 信号 混合 ， 难 以 开发 通用 的 通信 接口 芯片 。 
HART 能 利用 总 线 供电 ， 可 满足 本 质 安全 防爆 的 要 求 ， 并 可 用 于 由 手持 编程 器 与 管理 系统 
主机 作为 主 设备 的 双 主 设备 系统 。 

(7) CC-Link 总 线 。CC-Link(Control&Communication Link， 控 制 与 通信 链 路 ) 由 三 萎 电 
机 为 主导 的 多 家 公司 于 1996 年 11 月 推出 ， 其 增长 势头 迅猛 ， 在 亚洲 占有 较 大 份额 。 在 其 
系统 中 ， 可 以 将 控制 和 信息 数据 同时 以 10 Mb/s 高 速 传送 至 现场 网 络 ， 具 有 性 能 卓越 、 使 用 
简单 、 应 用 广泛 、 节 省 成 本 等 优点 。 其 不 仅 解决 了 工业 现场 配 线 复杂 的 问题 ， 同 时 具有 优 
异 的 抗 噪 性 能 和 兼容 性 。CC-Link 是 一 个 以 设备 层 为 主 的 网 络 , 同时 也 可 覆盖 较 高 层次 的 控 
制 层 和 较 低 层次 的 传 感 层 。2005 年 7 月 ，CC-Link 被 中 国 国家 标准 委员 会 批准 为 中 国 国家 
标准 指导 性 技术 文件 。 

(8) World FIP 总 线 。World HP 的 北美 部 分 与 ISP 合并 为 FF 以 后 ， World FIP 的 欧洲 部 
分 仍 保持 独立 ， 总 部 设 在 法 国 。 其 在 欧洲 市 场 占有 重要 地 位 ， 特 别 是 在 法 国 ， 占 有 率 大 约 
为 60%。World FIP 的 特点 是 具有 单一 的 总 线 结构 来 适应 不 同 应 用 领域 的 需求 ， 而 且 没有 任 
何 网 关 或 网 桥 , 用 软件 的 办 法 来 解决 高 速 和 低速 的 衔接 。World FIP 与 FFHSE 可 以 实现 “ 透 
明 连 接 ”， 并 对 FF 的 Hl 进行 了 技术 拓展 ， 如 速率 等 。 在 与 IEC61158 第 一 类 型 的 连接 方 
面 ，World FIP 做 得 最 好 ， 走 在 世界 前 列 。 

(9) INTERBUS 总 线 .INTERBUS 是 德国 Phoenix 公司 推出 的 较 早 的 现场 总 线 ,2000 年 
2 月 成 为 国际 标准 IEC61IS8。INTERBUS 采用 国际 标准 化 组 织 ISO 的 开放 系统 互联 OSI 的 
简化 模型 (1，2，7 层 )， 即 物理 层 、 数 据 链 路 层 、 应 用 层 ， 具 有 强大 的 可 靠 性 、 可 诊断 性 和 
易 维 护 性 。 其 采用 数据 环 通信 ， 具 有 低速 度 、 高 效率 的 特点 ， 并 严格 保证 了 数据 传输 的 同 
步 性 和 周期 性 ;该 总 线 的 实时 性 、 抗 干扰 性 和 可 维护 性 也 非常 出 色 。INTERBUS 广泛 地 应 
用 到 汽车 、 烟 草 、 仓 储 、 造 纸 、 包 装 、 食 品 等 工业 ， 成 为 国际 现场 总 线 的 领先 者 。 

目前 现场 总 线 通信 安全 的 主流 研究 方向 是 通信 的 安全 协议 ， 该 协议 致力 于 开发 安全 检 
测 措施 以 发 现 更 多 的 传输 错误 。 现 有 现场 总 线 安全 协议 主要 有 Profisafe、Interbus Safety、 
CANopen Safety、CCLink Safety、EtherCat Safety 等 ， 其 研究 的 重点 均 在 传输 错误 的 检测 方 
法 上 。 这 些 方法 通常 无 法 修复 发 生 错误 的 信号 ， 只 能 选择 重 传 ， 且 实时 性 有 待 提 高 。 

2. 工业 控制 系统 安全 简介 

1) “和 震 网 ”病毒 事件 

数据 采集 与 监控 (SCADA)、 分 布 式 控制 系统 (DCS)、 过 程控 制 系统 (PCS)、 可 编程 逻辑 
控制 器 (PLC) 等 工业 控制 系统 广泛 运用 于 工业 、 能 源 、 交 通 、 水 利 以 及 市 政 等 领域 ， 并 用 于 
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控制 生产 设备 的 运行 。 一 旦 工业 控制 系统 中 的 软件 漏洞 被 恶意 代码 所 利用 ， 将 对 工业 生产 
运行 和 国家 经 济 安全 造成 重大 隐患 。 随 着 信息 化 与 工业 化 深度 融合 以 及 物 联 网 的 快速 发 展 ， 
工业 控制 系统 产品 越 来 越 多 地 采用 通用 协议 、 通 用 硬件 和 通用 软件 ， 以 各 种 方式 与 互联 网 
等 公共 网 络 相连 接 ， 于 是 ， 病 毒 、 木 马 等 威胁 正在 向 工业 控制 系统 扩散 ， 工 业 控 制 系统 信 
息 安 全 问题 日 益 突出 。2010 年 发 生 的 “ 震 网 ”病毒 事件 就 是 一 个 典型 的 例子 。“ 震 网 ” 病 
毒 又 名 Stuxnet 病毒 ， 它 是 第 一 个 专门 攻击 现实 世界 中 的 工业 基础 设施 的 “蠕虫 ”病毒 (能 进 
行 自我 复制 ， 通 过 网 络 传播 )。 “ 震 网 ”病毒 也 被 认为 是 世界 上 第 一 个 网 络 “ 超 级 武器 ” ， 
其 目的 可 能 是 要 攻击 伊朗 的 布什 尔 核电 站 ， 它 感染 了 全 球 超过 45 000 个 网 络 ， 其 中 伊朗 遭 
到 的 攻击 最 为 严重 ，60% 的 个 人 电脑 感染 了 这 种 病毒 。 

Stuxnet 蠕虫 针对 的 软件 系统 是 西门 子 公司 的 SCADA 系统 SIMATIC WinCC, 该 系统 被 
广泛 应 用 于 钢铁 、 汽 车 、 电 力 、 运 输 、 水 利 、 化 工 、 石 油 等 工业 领域 ， 特 别 是 国家 基础 设 
施工 程 中 。 该 系统 运行 在 Windows NT 类 型 的 平台 上 ， 常 被 部 署 在 与 外 界 隔离 的 专用 局 域 
网 中 。 

Stuxnet 蠕虫 利用 了 微软 操作 系统 中 至 少 4 个 漏洞 ， 其 中 有 3 个 全 新 的 零 日 漏洞 : 伪造 
驱动 程序 的 数字 签名 ;通过 一 套 完整 的 入 侵 和 传播 流程 ， 突 破 工业 专用 局 域 网 的 物理 限制 ; 
利用 WinCC 系统 的 两 个 漏洞 ， 对 其 开展 破坏 性 攻击 。 通 常情 况 下 ,蠕虫 攻击 意图 在 于 传播 
范围 的 广阔 性 、 攻 击 目标 的 普遍 性 。Stuxnet 蠕虫 却 与 此 截然 相反 ， 攻 击 的 最 终 目标 既 不 是 
开放 主机 ， 也 不 是 大 众 家 庭 中 的 通用 软件 ， 加 上 其 攻击 需要 渗透 到 内 网 ， 且 需要 挖掘 
Windows 操作 系统 的 零 日 漏洞 ， 表 明 攻 击 能 力 非 同 寻常 。 因 而 有 推断 认为 此 次 攻击 很 可 能 
是 一 次 带 有 政治 意义 的 精心 谋划 的 攻击 。 

工业 控制 网 络 包括 工业 以 太 网 以 及 现场 总 线 控制 系统 。 工 业 控制 网 络 早已 在 诸如 电力 、 
钢铁 、 化 工 等 大 型 工业 企业 中 应 用 多 年 ， 工 控 网 络 的 核心 大 多 是 工控 PC， 大 多 数 同样 基于 
Windows-Intel 平台 ， 工 业 以 太 网 与 民用 以 太 网 在 技术 上 并 无 本 质 差 异 ， 现 场 总 线 技术 更 是 
将 单片机 /嵌入 式 系统 应 用 到 了 每 一 个 控制 仪表 上 。 以 化 工行 业 为 例 ， 针 对 工业 控制 网 络 的 
攻击 可 能 破坏 反应 器 的 正常 温度 /压力 测控 ， 导 致 反应 器 超 温 / 超 压 ， 最 终 就 会 导致 冲 料 、 起 
火 甚至 爆炸 等 灾难 性 事故 ， 还 可 能 造成 次 生 灾害 和 人 道 主义 灾难 。 

通过 “ 震 网 ”病毒 事件 ， 可 以 得 到 一 些 启示 。 

(1) 工业 以 太 网 和 现场 总 线 标准 均 为 公开 标准 ， 熟 悉 工 控 系 统 的 程序 员 开 发 针对 性 的 
恶意 攻击 代码 并 不 存在 很 高 的 技术 门槛 。 因 此 ， 采 取 严 格 的 网 络 隔离 措施 是 必需 的 。 

(2) DCS 和 现场 总 线 控制 系统 中 测控 软件 是 核心 产品 ， 特 别 是 行业 产品 被 少数 公司 所 
垄断 ， 因 此 ， 在 核心 部 门 采用 国产 软件 或 者 一 定数 量 的 异 构 异种 软件 ， 以 及 软件 匈 余 措 施 
是 有 益 的 。 

(3) 基于 RS-485 总 线 以 及 光纤 物理 层 的 现场 总 线 ， 例 如 PROFIBUS 和 MODBUS， 其 
安全 性 相对 较 好 ， 但 短程 无 线 网 络 ， 特 别 是 ZigBee 等 通用 短程 无 线 协议 (有 一 定 的 安全 性 )， 
其 安全 性 较 差 ， 最 好 使 用 自 定义 的 专用 协议 的 短程 无 线 通 信 测 控 仪 表 。 

2) “工业 控制 系统 的 信息 安全 管理 

工业 与 信息 化 部 2011 年 9 月 下 发 了 《关于 加 强 工业 控制 系统 信息 安全 管理 的 通知 》， 
要 求 各 地 区 、 各 有 关 部 门 、 有 关 国有 大 型 企业 充分 认识 工业 控制 系统 信息 安全 的 重要 性 和 
紧迫 性 ， 切 实 加 强 工业 控制 系统 信息 安全 管理 ， 以 保障 工业 生产 运行 安全 、 国 家 经 济 安全 
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和 人 民生 命 财 产 安全 。 重 点 加 强 核 设施 、 钢 铁 、 有 色 、 化 工 、 石 油 石化 、 电 力 、 天 然 气 、 
先进 制造 、 水 利 枢纽 、 环 境 保 护 、 铁 路 、 城 市 轨道 交通 、 民 航 、 城 市 供水 供 气 供 热 以 及 其 
他 与 国计民生 紧密 相关 领域 的 工业 控制 系统 信息 安全 管理 ， 落 实 安全 管理 要 求 。 通 知 从 信 
息 安 全 管理 角度 出 发 ， 提 出 了 对 工业 控制 系统 的 信息 安全 管理 方面 的 注意 事项 ， 介 绍 如 下 。 

(1) 连接 管理 要 求 。 

@” 断 开工 业 控 制 系统 同 公共 网 络 之 间 的 所 有 不 必要 连接 。 

@ ”对 确实 需要 的 连接 ， 系 统 运营 单位 要 逐一 进行 登记 ， 采 取 设 置 防火 墙 、 单 向 隔离 
等 措施 加 以 防护 ， 并 定期 进行 风险 评估 ， 不 断 完善 防范 措施 。 

图 ”严格 控制 在 工业 控制 系统 和 公共 网 络 之 间 交 叉 使 用 移动 存储 介质 以 及 便携 式 计算 机 。 

(2) 组 网 管理 要 求 。 

@ 工业 控制 系统 组 网 时 要 同步 规划 、 同 步 建设 、 同 步 运 行 安全 防护 措施 。 

@ 采取 虚拟 专用 网 络 (VPN)、 线 路 元 余 备 份 、 数 据 加 密 等 措施 ， 加 强 对 关键 工业 控制 
系统 远程 通信 的 保护 。 

@ ”对 无 线 组 网 采取 严格 的 身份 认证 、 安 全 监测 等 防护 措施 ， 防 止 经 无 线 网 络 进行 恶 
意 入 侵 ， 尤 其 要 防止 通过 侵入 远程 终端 单元 (RTU) 进 而 控制 部 分 或 整个 工业 控制 系统 。 

(3) 配置 管理 要 求 。 

Q@ ”建立 控制 服务 器 等 工业 控制 系统 关键 设备 安全 配置 和 审计 制度 。 

@ ”严格 账户 管理 ， 根 据 工作 需要 合理 分 类 设置 账户 权限 。 

@ ”严格 口令 管理 ， 及 时 更 改 产品 安装 时 的 预 设 口令 ， 杜 绝 弱 口令 、 空 口令 。 

@ ”定期 对 账户 、 口 令 、 端 口 、 服 务 等 进行 检查 ， 及 时 清理 不 必要 的 用 户 和 管理 员 账 
户 ， 停 止 无 用 的 后 台 程序 和 进程 ， 关 闭 无 关 的 端口 和 服务 。 

(4) 设备 选择 与 升级 管理 要 求 。 

@ 慎重 选择 工业 控制 系统 设备 ， 在 供 货 合同 中 或 以 其 他 方式 明确 供应 商 应 承担 的 信 
息 安全 责任 和 义务 ， 确 保 产 品 安全 可 控 。 

@ 加强 对 技术 服务 的 信息 安全 管理 ， 在 安全 得 不 到 保证 的 情况 下 禁止 采取 远程 在 线 
服务 。 

@ 密切 关注 产品 漏洞 和 补丁 发 布 ， 严 格 软件 升级 、 补 丁 安装 管理 ， 严 防 病毒 、 木 马 
等 恶意 代码 侵入 。 关 键 工 业 控制 系统 软件 升级 、 补 丁 安装 前 ， 要 请 专业 技术 机 构 进行 安全 
评估 和 验证 。 

(5) 数据 管理 要 求 。 

地 理 、 矿 产 、 原 材料 等 国家 基础 数据 以 及 其 他 重要 敏感 数据 的 采集 、 传 输 、 存 储 、 利 
用 等 ， 要 采取 访问 权限 控制 、 数 据 加 密 、 安 全 审计 、 灾 难 备份 等 措施 加 以 保护 ， 切 实 维护 
个 人 权益 、 企 业 利益 和 国家 信息 资源 安全 。 

(6) 应 急 管理 要 求 。 

制定 工业 控制 系统 信息 安全 应 急 预 案 ， 明 确 应 急 处 置 流程 和 临 机 处 置 权限 ， 落 实 应 急 
技术 支撑 队伍 ， 根 据 实际 情况 采取 必要 的 备 机 备件 等 容 灾 备份 措施 。 

3) ”工业 控制 系统 安全 简介 

(1) 首先 是 现场 总 线 的 选择 。 虽 然 EC 组 织 已 达成 了 国际 总 线 标准 ， 但 总 线 种 类 仍然 
过 多 ， 而 每 种 现场 总 线 都 有 自己 最 合适 的 应 用 领域 ， 如 何在 实际 中 根据 应 用 对 象 ， 将 不 同 
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层次 的 现场 总 线 组 合 使 用 ， 使 系统 的 各 部 分 都 选择 最 合适 的 现场 总 线 ， 对 用 户 来 说 ， 仍 然 
是 比较 棘手 的 问题 。 

(2) 系统 的 集成 问题 。 由 于 实际 应 用 中 一 个 系统 很 可 能 采用 多 种 形式 的 现场 总 线 ， 因 
此 如 何 把 工业 控制 网 络 与 数据 网 络 进行 无 颖 的 集成 ， 从 而 使 整个 系统 实现 管控 一 体 化 ， 是 
关键 环节 。 现 场 总 线 系统 在 设计 网 络 布局 时 ， 不 仅 要 考虑 各 现场 节点 的 距离 ， 还 要 考虑 现 
场 节 点 之 间 的 功能 关系 、 信 息 在 网 络 上 的 流动 情况 等 。 由 于 智能 化 现场 仪表 的 功能 很 强 ， 
因此 许多 仪表 会 有 同样 的 功能 块 ， 组 态 时 选 哪个 功能 块 是 要 仔细 考虑 的 ， 要 使 网 络 上 的 
信息 流动 最 小 化 。 同 时 通信 参数 的 组 态 也 很 重要 ， 要 在 系统 的 实时 性 与 网 络 效率 之 间 做 
好 平衡 。 

(3) 存在 技术 瓶颈 问题 。 

中 当 总 线 电缆 截断 时 ， 整 个 系统 有 可 能 瘫痪 。 用 户 希望 这 时 系统 的 效能 可 以 降低 ， 
但 不 能 骨 溃 ， 这 一 点 许多 现场 总 线 不 能 保证 。 

@ 本质 防 爆 理论 的 制约 。 现 有 的 防爆 规定 限制 总 线 的 长 度 和 总 线 上 负载 的 数量 ， 这 
就 限制 了 现场 总 线 节省 线 线 优 点 的 发 挥 。 各 国都 在 对 现场 总 线 本 质 安全 概念 (FISCO) 理 论 加 
强 研究 ， 争 取 有 所 突破 。 

@@ 系统 组 态 参数 过 分 复杂 。 现 场 总 线 的 组 态 参数 很 多 ， 不 容易 掌握 ， 但 组 态 参数 设 
定 得 好 坏 ， 对 系统 性 能 影响 很 大 。 


5.4.3 ”卫星 通信 接 入 安全 


卫星 通信 接 入 网 包括 卫星 电视 、 遥 感 卫 星 等 其 他 各 类 通信 卫星 ， 本 节 重 点 介绍 民用 卫 
星 通信 中 的 两 个 典型 应 用 : CMMB 手机 电视 和 北斗 卫星 导航 定位 系统 。 


1. CMMB 简介 


1) “CMMB 技术 标准 

CMMB(China Mobile Multimedia Broadcasting) 技 术 标 准 (俗称 手机 电视 ) 是 由 中 国 广电 总 
局 组 织 研发 ， 具 有 自主 知识 产权 的 移动 多 媒体 广播 电视 标准 ， 该 标准 适用 于 各 种 7 寸 以 下 
屏幕 的 移动 便携 终端 ， 包 括 手机 、GPS、MP4、 数 码 相机 等 。CMMB 具有 全 国 统一 标准 、 
网 络 覆盖 广 、 移 动 性 好 、 节 目 丰 富 、 终 端 方案 成 熟 等 特点 。CMMB 是 国内 自主 研发 的 第 一 
套 面向 手机 、 笔 记 本 电脑 等 多 种 移动 终端 的 系统 ， 利 用 S 波段 信号 实现 “天 地 ”一 体 覆 盖 、 
全 国 漫 游 ， 支 持 25 套 电视 和 30 套 广播 节目 。2006 年 10 月 24 日 ， 国 家 广电 总 局 正式 颁布 
中 国 移动 多 媒体 广播 行业 标准 ， 确 定 采用 我 国 自 主 研发 的 移动 多 媒体 广播 行业 标准 。 标 准 
适用 于 30 MHz 到 3000 MHz 频率 范围 内 的 广播 业务 频率 ， 通 过 卫星 和 (或 ) 地 面 无 线 发 射电 
视 、 广 播 、 数 据 信息 等 多 媒体 信号 的 广播 系统 ， 可 实现 全 国 漫 游 。 

CMMB 主要 包括 以 下 两 类 应 用 : @ 在 移动 通信 设备 (如 手机 ) 上 观看 电视 节目 ， 也 称 为 
“手机 电视 ”; 在 非 通信 类 移动 设备 (如 MP4、 数 码 相 机 ) 上 观看 电视 节目 。 

CMMB 的 优势 如 下 。 

(1) CMMB 借助 卫星 通信 ， 能 极 好 地 解决 移动 终端 (手机 电视 ) 信 号 流畅 的 问题 。 

(2) CMMB 由 国家 广电 总 局 管理 ， 其 负责 的 电影 、 电 视 、 广 播 载体 ， 具 有 丰富 的 电视 
内 容 资源 ，CMMB 也 是 2008 年 奥运 会 新 媒体 的 直播 载体 。 
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(3) 收费 低廉 ，CMMB 兼顾 国家 媒体 信息 发 布 功能 。 

2) CMMB 简介 

从 技术 上 讲 ， 手 机 电视 主要 分 为 两 大 类 ， 分 别 源 于 广播 网 络 和 移动 通信 网 络 。 第 一 类 
技术 以 欧洲 的 DVB-H、 韩国 的 T-DMB、 日 本 的 ISDB-T、 美国 的 MediaFlo 和 中 国 的 CMMB 
为 代表 ， 实 现 上 以 地 面 广播 网 络 为 基础 ， 与 移动 网 络 松 耦 合 或 者 相对 独立 地 组 网 ， 第 二 类 
技术 以 3GPP 的 MBMS 和 3GPP2 的 BCMCS 为 代表 ， 以 移动 通信 网 络 为 基础 ， 不 能 独立 组 
网 。 与 国外 的 同类 技术 如 美 、 欧 、 日 、 韩 等 国 相 比 ，CMMB 具有 图 像 清晰 流畅 、 组 网 灵活 
方便 、 内 容 丰富 多 彩 等 特点 。 

CMMB 采用 卫星 和 地 面 网 络 相 结合 的 “天 地 一 体 、 星 网 结合 、 统 一 标准 、 全 国 漫游 ” 
方式 ， 实 现 全 国 范围 移动 多 媒体 广播 电视 信号 的 有 效 履 盖 。CMMB 利用 大 功率 S 波段 卫星 
覆盖 全 国 100% 国 土 ， 利 用 S/U 波段 增补 转发 器 覆盖 卫星 信号 较 弱 区 (利用 UHF 地 面 发 射 覆 
盖 城 市 楼 房 密集 区 )， 利 用 无 线 移动 通信 网 络 构建 回 传 通道 ， 从 而 组 成 单 向 广播 和 双向 交互 
相 结合 的 移动 多 媒体 广播 网 络 。CMMB 借助 卫星 和 地 面 基 站 广播 ， 解 决 了 手机 电视 信号 不 
流畅 的 问题 。 CMMB 频段 范围 在 470M~798 MHz， 传 播 衰 耗 小 ， 发 射 功 率 能 够 达到 千瓦 级 
别 ， 有 效 室外 覆盖 范围 在 十 几 千 米 到 四 十 千 米 (覆盖 范围 大 于 移动 通信 基站 )。 到 2011 年 12 
月 ， 全 国 337 个 地 级 市 和 百 强 县 实现 优质 覆盖 ,覆盖 全 国 5 亿 以 上 的 人 口 。CMMB 也 正在 
扩展 海外 业务 ， 例 如 已 经 在 塔吉克 斯 坦 开 通 试播 。 

CMMB 是 广播 技术 ， 优 势 是 覆盖 广 、 相 对 成 本 低 、 多 用 户 同时 观看 ， 不 足 之 处 是 难以 
支持 点 播 和 双向 互动 的 业务 。3G 的 视频 技术 ， 优 势 在 于 交互 性 、 点 播 甚至 即时 通信 ， 但 在 
实现 大 规模 、 广 覆盖 、 多 用 户 情况 下 的 视频 传输 时 是 很 不 经 济 的 。 因 此 ， 将 3G 中 的 TD 技 
术 和 CMMB 技术 结合 起 来 ， 可 加 快 移动 电视 在 手机 上 的 应 用 。 与 传统 的 电视 相 比 ，CMMEB 
除了 传播 音 视 频 节 目 外 , 还 可 以 利用 自身 的 带宽 优势 提供 各 类 数据 业务 , 包括 交通 诱导 、 股 
市 行情 、 电 子 杂志 、 生 活 咨询 、 推 送 式 下 载 等 。 通 过 移动 通信 网 络 的 回 传 ，CMMB 终端 还 
可 以 实现 互动 、 在 线 支 付 等 功能 。 如 此 多 样 的 应 用 必须 有 安全 的 网 络 作为 保障 。 如 果 没 有 
安全 广播 , 不 法 分 子 为 了 达到 个 人 目的 , 就 可 能 利用 大 功率 的 移动 发 射 站 在 CMMB 终端 集 
中 的 区 域 进 行 非法 广播 ， 此 时 受 干扰 的 终端 收 到 的 将 是 非法 电台 发 出 的 毒害 观众 思想 的 电 
视 节 目 ， 或 者 是 联系 电话 及 银行 账号 被 算 改 过 的 电视 购物 频道 ， 此 时 受到 伤害 的 不 仅 是 消 
费 者 ， 运 营 商 也 会 遭受 到 重大 损失 。 因 此 ，2009 年 1 月 广电 总 局 颁布 了 《移动 多 媒体 广播 
第 10 部 分 : 安全 广播 》 标 准 。 

安全 广播 技术 的 原理 就 是 通过 在 移动 多 媒体 广播 信号 中 插入 安全 广播 信息 ， 使 得 移动 
多 媒体 终端 具备 鉴别 多 媒体 广播 业务 合法 性 的 能 力 。 即 当 移 动 多 媒体 广播 在 传输 过 程 被 恶 
意 替 换 、 自 改 时 ， 终 端 可 以 及 时 停止 非法 业务 的 展现 。 

安全 广播 系统 由 前 端子 系统 和 终端 模块 构成 ， 其 中 前 端子 系统 实现 安全 广播 信息 的 生 
成 和 发 送 ， 终 端 模 块 实现 安全 广播 信息 的 接收 和 处 理 。 安 全 广播 前 端子 系统 获得 复 用 控制 
信息 表 和 业务 特征 信息 ， 并 根据 这 些 信 息 生成 安全 广播 信息 ， 以 数据 业务 形式 复 用 传输 。 
复 用 子 系统 使 用 单独 的 复 用 子 帧 承载 安全 广播 信息 ， 为 其 分 配 业 务 标识 号 ， 经 由 广播 信道 
发 送 。 安 全 广播 终端 模块 在 终端 接收 移动 多 媒体 广播 业务 内 容 时 ， 根 据 业 务 标识 号 从 传输 
帧 中 解 复 用 获得 安全 广播 信息 ， 并 对 安全 广播 信息 进行 校 验 ， 根 据 校 验 结果 确认 广播 业务 
内 容 的 合法 性 ， 进 而 允许 或 禁止 业务 展现 。 
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2. 北斗 卫星 导航 系统 简介 


中 国 北斗 卫星 导航 系统 (BeiDou Navigation Satellite System，BDS) 是 中 国 自 行 研制 的 全 
球 卫星 导航 系统 ,是 继 美国 全 球 定位 系统 (GPS)、 俄 罗斯 格 洛 纳 斯 卫星 导航 系统 (GLONASS) 
之 后 第 三 个 成 熟 的 卫星 导航 系统 ,北斗 卫星 导航 系统 (BDS) 和 美国 GPS、 俄 罗斯 GLONASS、 
欧盟 GALILEO， 是 联合 国 卫星 导航 委员 会 已 认定 的 供应 商 。 

卫星 导航 系统 是 重要 的 空间 信息 基础 设施 。 中 国 高 度 重视 卫星 导航 系统 的 建设 ， 一 直 
在 努力 探索 和 发 展 拥有 自主 知识 产权 的 卫星 导航 系统 。2000 年 ， 首 先 建成 北斗 导航 试验 系 
统 ， 使 我 国 成 为 继 美 、 俄 之 后 的 世界 上 第 三 个 拥有 自主 卫星 导航 系统 的 国家 。 该 系统 成 功 
应 用 于 测绘 、 电 信 、 水 利 、 渔 业 、 交 通 运输 、 森 林 防 火 、 减 灾 救 灾 和 公共 安全 等 诸多 领域 ， 
产生 了 显著 的 经 济 效益 和 社会 效益 ， 特 别 是 在 2008 年 北京 奥运 会 、 汶 川 抗震 救灾 中 发 挥 了 
重要 作用 。 为 了 更 好 地 服务 于 国家 建设 与 发 展 ， 满 足 全 球 应 用 需求 ， 我 国 启动 实施 了 北斗 
卫星 导航 系统 建设 。 

北斗 卫星 导航 系统 的 建设 与 发 展 ， 以 应 用 推广 和 产业 发 展 为 根本 目标 ， 不 仅 要 建成 系 
统 ， 更 要 用 好 系统 ， 强 调 质量 、 安 人 全、 应用、 效益 ， 所 以 应 遵循 以 下 建设 原则 。 

(1) 开放 性 。 北 斗 卫星 导航 系统 的 建设 、 发 展 和 应 用 将 对 全 世界 开放 ， 为 全 球 用 户 提 
供 高 质量 的 免费 服务 ， 积 极 与 世界 各 国 开展 广泛 而 深入 的 交流 与 合作 ， 促 进 各 卫星 导航 系 
统 间 的 兼容 与 互 操 作 ， 推 动 卫 星 导航 技术 与 产业 的 发 展 。 

(2) 自主 性 。 中 国 将 自主 建设 和 运行 北斗 卫星 导航 系统 ， 北 斗 卫星 导航 系统 可 独立 为 
全 球 用 户 提供 服务 。 

2012 年 ， 中 国 已 实现 北斗 系统 的 亚太 地 区 覆盖 。 根 据 系统 建设 总 体 规划 ， 到 2020 年 左 
右 ， 将 建成 覆盖 全 球 的 北斗 卫星 导航 系统 。 

北斗 卫星 导航 系统 的 建设 目标 是 : 建成 独立 自主 、 开 放 兼 容 、 技 术 先进 、 稳 定 可 靠 的 
覆盖 全 球 的 北斗 卫星 导航 系统 ， 促 进 卫 星 导 航 产 业 链 形成 ， 形 成 完善 的 国家 卫星 导航 应 用 
产业 支撑 、 推 广 和 保障 体系 ， 推 动 卫 星 导航 在 国民 经 济 社会 各 行业 的 广泛 应 用 。 

1) “北斗 卫星 导航 系统 工作 原理 

北斗 卫星 导航 系统 由 空间 段 、 地 面 段 和 用 户 段 三 部 分 组 成 ， 可 在 全 球 范 围 内 全 天 候 、 
全 天 时 为 各 类 用 户 提供 高 精度 、 高 可 靠 的 定位 、 导 航 、 授 时 服务 ， 并 具有 短 报 文通 信 能 力 ， 
已 经 初步 具备 区 域 导航 、 定 位 和 授时 能 力 , 定位 精度 10 m, 测速 精度 0.2 m/s, 授时 精度 10ns。 
空间 段 包括 5 颗 静 止 轨道 卫星 和 30 颗 非 静止 轨道 卫星 (卫星 总 数 比 GPS 多 出 11 颗 )， 地 面 
段 包括 主 控 站 、 注 入 站 和 监测 站 等 若干 地 面 站 ， 用 户 段 包括 北斗 用 户 终 端 以 及 与 其 他 卫星 
导航 系统 兼容 的 终端 。 

北斗 卫星 导航 系统 的 基本 工作 过 程 如 图 5-21 所 示 。 

已 经 在 轨 使 用 的 “北斗 一 号 ”系统 采用 的 是 主动 式 双向 测 距 二 维 导 航 ， 首 先 由 地 面 主 
控 站 向 卫星 1 和 卫星 2 同时 发 送 询问 信号 ， 经 卫星 转发 器 向 服务 区 内 的 用 户 广播 。 用 户 响 
应 其 中 一 颗 卫 星 的 询问 信号 ， 并 同时 向 两 颗 卫 星 发 送 响应 信号 ， 经 卫星 转发 回 地 面 主 控 站 。 
地 面 主 控 站 接收 并 解释 用 户 发 来 的 信号 ， 然 后 根据 用 户 的 申请 服务 内 容 进行 相应 的 数据 处 
理 。 对 定位 申请 ， 主 控 站 测 出 如 下 两 个 时 间 延 迟 。 
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5-21 ”北斗 卫星 系统 的 基本 工作 过 程 


(1) 从 主 控 站 发 出 询问 信号 ， 经 某 一 颗 卫星 转发 到 达 用 户 ， 用 户 发 出 定位 响应 信号 ， 
经 同一 颗 卫 星 转 发 回 主 控 站 的 延迟 。 

(2) 从 主 控 站 发 出 询问 信号 ， 经 上 述 同一 卫星 到 达 用 户 ， 用 户 发 出 响应 信号 ， 经 另 一 
颗 卫星 转发 回 主 控 站 的 延迟 。 

由 于 主 控 站 和 两 颗 卫 星 的 位 置 均 是 已 知 的 ， 因 此 ， 由 上 面 两 个 延迟 量 可 以 算出 用 户 到 
第 一 颗 卫星 的 距离 ， 以 及 用 户 到 两 颗 卫 星 的 距离 之 和 ， 从 而 知道 用 户 处 于 一 个 以 第 一 颗 卫 
星 为 球 心 的 一 个 球面 ， 和 以 两 颗 卫 星 为 焦点 的 椭 球 面 之 间 的 交 线 上 。 另 外 主 控 站 从 存储 在 
计算 机 内 的 数字 化 地 形 图 查询 到 用 户 高 程 值 ， 又 可 知道 用 户 处 于 某 一 与 地 球 基准 椭 球 面 平 
行 的 椭 球 面 上 。 从 而 中 心 控制 系统 可 最 终 计 算出 用 户 所 在 点 的 三 维 坐标 ， 这 个 坐标 经 加 密 
成 出 站 信号 发 送 给 用 户 。 

2) ”北斗 卫星 导航 系统 的 功能 

北斗 卫星 导航 系统 的 四 大 功能 如 下 。 

(1) 短 报 文通 信 。 北 斗 系统 用 户 终 端 具 有 双向 报 文通 信 功 能 ， 用 户 可 以 一 次 传送 40~ 
60 个 汉字 的 短 报 文 信息 。 这 一 功能 是 GPS 所 不 具备 的 。 

(2) 精密 授时 。 北 斗 系 统 具有 精密 授时 功能 ， 可 向 用 户 提供 20~100 ns 时 间 同 步 精度 。 

(3) 定位 精度 。 水 平 精度 100 m， 设 立 标 校 站 之 后 为 20 m( 类 似 差分 状态 )。 工 作 频 率 为 
2491.75 MHz。 

(4) 系统 容纳 的 最 大 用 户 数 为 每 小 时 540 000 户 。 

北斗 系统 在 军事 上 有 极其 重要 的 用 途 ， 如 航海 定位 、 武 器 精确 制导 等 。 在 民用 方面 ， 
包括 个 人 位 置 服务 、 气 象 、 道 路 交通 管理 、 铁 路 运输 、 海 运 和 水 运 、 航 空运 输 、 应 急救 
援 等 。 

军用 功能 : 北斗 卫星 导航 定位 系统 的 军事 功能 与 GPS 类 似 ， 如 运动 目标 的 定位 导航 ; 
为 缩短 反应 时 间 的 武器 载 具 发 射 位 置 的 快速 定位 ， 人 员 搜 救 、 水 上 排 雷 的 定位 需求 等 。 这 
些 功能 用 在 军事 上 ， 意 味 着 可 主动 进行 各 级 部 队 的 定位 ， 也 就 是 说 各 级 部 队 一 旦 配备 北斗 
卫星 导航 定位 系统 ， 除 了 可 供 自身 定位 导航 外 ， 高 层 指 挥 部 也 可 随时 通过 北斗 系统 掌握 部 
队 位 置 ， 并 传递 相关 命令 ， 对 任务 的 执行 有 相当 大 的 助 益 。 换 言 之 ， 可 利用 北斗 卫星 导航 
定位 系统 执行 部 队 指 挥 与 管制 及 战场 管理 。 

民用 功能 介绍 如 下 。 

中 个 人 位 置 服务 。 当 你 进入 不 熟悉 的 地 方 时 ， 你 可 以 使 用 装 有 北斗 卫星 导航 接收 区 
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片 的 手机 或 车 载 卫星 导航 装置 找到 你 要 走 的 路 线 。 

@ 气象 应 用 。 北 斗 导 航 卫 星 气象 应 用 的 开展 ， 可 以 促进 中 国 天 气 分 析 和 数值 天 气 预 
报 、 气 候 变 化 监测 和 预测 ， 也 可 以 提高 空间 天 气 预警 业务 水 平 ， 提 升 中 国 气象 防 灾 减 灾 的 
能 力 。 除 此 之 外 ， 北 斗 导 航 卫星 系统 的 气象 应 用 对 推动 北斗 导航 卫星 创新 应 用 和 产业 拓展 
也 具有 重要 的 影响 。 

@ ”道路 交通 管理 。 卫 星 导航 将 有 利于 减缓 交通 阻塞 ， 提 升 道路 交通 管理 水 平 。 通 过 
在 车 辆 上 安装 卫星 导航 接收 机 和 数据 发 射 机 ， 车 辆 的 位 置信 息 就 能 在 几 秒 钟 内 自动 转发 到 
中 心 站 。 这 些 位 置信 息 可 用 于 道路 交通 管理 。 

图 铁路 智能 交通 。 卫 星 导 航 将 促进 传统 运输 方式 实现 升级 与 转型 。 例 如 ， 在 铁路 运 
输 领域 ， 通 过 安装 卫星 导航 终端 设备 ， 可 极 大 缩短 列车 行驶 间隔 时 间 ， 降 低 运 输 成 本 ， 有 
效 提高 运输 效率 。 未 来 ， 北 斗 卫星 导航 系统 将 提供 高 可 靠 、 高 精度 的 定位 、 测 速 、 授 时 服 
务 ， 促 进 铁路 交通 的 现代 化 ， 实 现 传统 调度 向 智能 交通 管理 的 转型 。 

回 海运 和 水 运 。 海 运 和 水 运 是 全 世界 最 广泛 的 运输 方式 之 一 ， 也 是 卫星 导航 最 早 应 用 
的 领域 之 一 。 在 世界 各 大 洋 和 江河 湖泊 行驶 的 各 类 船舶 大 多 安装 了 卫星 导航 终端 设备 ， 使 
海上 和 水 路 运输 更 为 高 效 和 安全 。 北 斗 卫 星 导航 系统 将 在 任何 天 气 条 件 下 ， 为 水 上 航行 船 
舶 提供 导航 定位 和 安全 保障 。 同 时 ， 北 斗 卫星 导航 系统 特有 的 短 报 文通 信 功 能 将 支持 各 种 
新 型 服务 的 开发 。 

@ 航空 运输 。 当 飞机 在 机 场 跑道 着 陆 时 ， 最 基本 的 要 求 是 确保 飞机 相互 间 的 安全 距 
离 。 利 用 卫星 导航 精确 定位 与 测速 的 优势 ， 可 实时 确定 飞机 的 瞬时 位 置 ， 有 效 减 小 飞机 之 
间 的 安全 距离 ， 甚 至 在 大 雾 天 气 情况 下 ， 可 以 实现 自动 盲 降 ， 极 大 地 提高 飞行 安全 和 机 场 
运营 效率 。 通 过 将 北斗 卫星 导航 系统 与 其 他 系统 有 效 结合 ， 将 为 航空 运输 提供 更 多 的 安全 
保障 。 

@ ”应 急救 援 。 卫 星 导 航 已 广泛 用 于 沙漠 、 山 区 、 海 洋 等 人 烟 稀少 地 区 的 搜索 救援 。 
在 发 生地 震 、 洪 灾 等 重大 灾害 时 ， 救 援 成 功 的 关键 在 于 及 时 了 解 灾情 并 迅速 到 达 救 援 地 点 。 
北斗 卫星 导航 系统 除 导 航 定位 外 ， 还 具备 短 报 文通 信 功 能 ， 通 过 卫星 导航 终端 设备 可 及 时 
报告 所 处 位 置 和 受灾 情况 ， 有 效 缩短 救援 搜寻 时 间 ， 提 高 抢险 救灾 时 效 ， 大 大 减少 人 民生 
命 财产 损失 。 

@ 指导 放牧 。2014 年 10 月 , 北斗 系统 开始 在 青海 省 牧区 试点 建设 北斗 卫星 放牧 信息 
化 指导 系统 ， 主 要 依靠 牧区 放牧 智能 指导 系统 管理 平台 、 牧 民 专 用 北斗 智能 终端 和 牧场 数 
据 采集 自动 站 ， 实 现 数据 信息 传输 ， 并 通过 北斗 地 面 站 及 北斗 星 群 中 转 、 中 继 处 理 ， 实 现 
草场 牧草 、 牛 羊 的 动态 监控 。 到 2015 年 夏季 ， 已 经 开通 了 试点 牧区 的 牧民 使 用 专用 北斗 智 
能 终端 设备 的 指导 放牧 实验 。 

3) ”北斗 卫星 导航 系统 的 安全 性 

目前 北斗 系统 的 安全 性 的 重心 还 是 放 在 军事 应 用 上 ， 其 具体 的 安全 机 制 均 处 于 保密 状 
态 ， 不 为 外 界 所 知 。 随 着 其 在 民用 网 络 的 应 用 不 断 增加 ， 安 全 机 制 的 设计 与 研究 也 会 逐渐 
提 上 日 程 ， 北 斗 系统 应 向 终端 用 户 提供 安全 、 有 效 和 可 靠 的 数据 服务 。 具 体 需 要 满足 以 下 
方 




















(1) 服务 方 可 以 认证 终端 用 户 的 身份 ， 保 证 未 授权 用 户 无 法 窃取 数据 服务 ， 即 数据 的 
授权 访问 服务 。 
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(2) 服务 方向 终端 用 户 提 供 有 效 和 可 靠 的 加 密 数 据 ， 只 有 终端 用 户 可 以 阅读 和 使 用 这 
个 加 密 数 据 ， 未 授权 用 户 无 法 阅读 和 使 用 数据 ， 即 数据 的 保密 通信 服务 。 

(3) 终端 用 户 可 以 认证 加 密 数据 的 来 源 可 靠 ， 进 而 可 以 放心 使 用 这 个 加 密 数 据 ， 即 数 
据 的 来 源 认 证 服务 。 


5.5 ” 物 联 网 核心 网 安全 与 6LoWPAN 安全 


5.5.1 核心 IP 骨干 网 的 安全 


安全 机 制 可 以 处 在 协议 栈 的 不 同 层次 ， 通 常 密 钥 协商 和 认证 协议 在 应 用 层 定 义 ， 而 保 
密 性 和 完整 性 可 在 不 同 的 层次 完成 。 表 5-6 所 示 是 不 同 层次 的 安全 协议 , 认证 对 象 是 指 消息 
鉴别 、 设 备 认 证 和 用 户 认证 等 。 





表 5-6 分 层 安全 协议 











所 处 层次 安全 协议 认证 对 象 
WS-seeurig 5 
应 用 层 | 
消息 
SMIME 
We i 
SSL/TLS 客户 端 到 服务 器 服务 器 
网 络 层 lpsee 
GSM/3G/LTE 
链 路 层 


1. IPSec 


从 1995 年 开始 ，IETF 着 手 研究 制定 了 一 套 人 P 安全 (IP Security，IPSec) 协 议 ， 用 于 保护 
卫 通信 的 安全 。IPSec 将 密码 算法 设立 在 网 络 层 , 它 是 构造 VPN 的 主要 工具 。 IETF 的 IPSec 
工作 组 定义 了 12 个 RFC， 定 义 了 体系 、 密 钥 管 理 、 基 本 协议 等 ， 因 此 ，IPSec 是 一 种 协议 
套件 。 

IPSec 由 三 个 基本 组 成 部 分 : 认证 报头 (Authentication Header，AH)、 封 装 安全 负载 
(Encapsulating Security Payload, ESP) 和 Intemet 密 钥 交换 (Internet Key Exchange, IKE) 协 议 。 
IPSec 提供 的 安全 服务 包括 : 数据 起 源 地 验证 、 无 连接 数据 的 完整 性 验证 、 数 据 内 容 的 机 密 
性 、 抗 重播 保护 和 有 限 的 数据 流 机 密 性 保证 等 。 

IPSec 具有 两 种 工作 模式 ， 即 传输 模式 和 隧道 模式 。 传 输 模式 不 保护 IP 头 ， 只 保护 人 P 
包 中 的 来 自传 输 层 的 数据 包 (IP 层 载 荷 )。 通 常用 于 从 主机 到 主机 的 数据 保护 场景 。 隧 道 模式 
保护 整个 下 包 ( 包 含 原 下 头 ),， 因 而 要 加 一 个 新 的 瑟 头 , 通常 用 在 从 主机 到 路 由 器 和 从 路 由 
器 到 主机 的 路 由 器 上 ， 也 就 是 说 ， 当 发 送 者 和 接收 者 都 不 是 主机 的 时 候 ， 才 使 用 隧道 模式 。 
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2. SSLTLS 

传输 层 安 全 协议 通常 指 的 是 套 接 层 安 全 协议 SSL 和 传输 层 安全 协议 TLS 两 个 协议 。 
SSL 是 美国 Netscape 公司 于 1994 年 设计 的 ， 为 应 用 层 数 据 提供 安全 服务 和 压缩 服务 。SSL 
虽然 通常 是 从 HTTP 接收 数据 , 但 SSL 其 实 可 以 从 任何 应 用 层 协议 接收 数据 。IETF 于 1999 
年 将 SSL 的 第 3 版 进行 了 标准 化 ， 确 定 为 传输 层 标准 安全 协议 TLS。TLS 和 SSL 第 3 版 只 
有 微小 的 差别 ， 故 人 们 通常 把 它们 一 起 表示 为 SSL/TLS。 另 外 ， 在 无 线 环境 下 ， 由 于 手机 
及 手持 设备 的 处 理 和 存储 能 力 有 限 , 原 WAP 论坛 在 TLS 的 基础 上 做 了 简化 , 提出 了 WTLS 
协议 (Wireless Transport Layer Security)， 以 适应 无 线 网 络 的 特殊 环境 。 

SSL 由 两 部 分 组 成 : 第 一 部 分 称 为 SSL 记录 协议 , 置 于 传输 协议 之 上 : 第 二 部 分 由 SSL 
握手 协议 、SSL 密 钥 更 新 协议 和 SSL 提醒 协议 组 成 , 置 于 SSL 记录 协议 之 上 和 应 用 程序 (如 
HTTP) 之 下 。 

1) ”SSL 握手 协议 

SSL 握手 协议 用 于 给 通信 双方 约定 使 用 哪个 加 密 算法 、 哪 个 数据 压缩 算法 以 及 哪些 参 
数 。 在 确定 了 加 密 算法 、 压 缩 算法 和 参数 以 后 ，SSL 记录 协议 将 接管 双方 的 通信 ， 包 括 将 
大 数据 分 割 成 块 、 压 缩 每 个 数据 块 、 给 每 个 压缩 后 的 数据 块 签名 、 在 数据 块 前 加 上 记录 协 
议 包头 并 传送 给 对 方 。SSL 密 钥 更 新 协议 允许 通信 双方 在 一 个 会 话 阶段 中 更 换算 法 或 参数 。 
SSL 提醒 协议 是 管理 协议 ， 用 于 通知 对 方 在 通信 中 出 现 的 问题 以 及 异常 情况 。 

SSL 握手 协议 是 SSL 各 协议 中 最 复杂 的 协议 ， 它 提供 客户 端 和 服务 器 认证 并 允许 双方 
协商 使 用 哪 一 组 密码 算法 ， 交 换 加 密 密 钥 等 。 各 工作 阶段 如 下 。 

(1) 协商 确定 双方 将 要 使 用 的 密码 算法 。 

这 一 阶段 的 目的 是 客户 端 和 服务 器 各 自 宣布 自己 的 安全 能 力 ， 从 而 双方 可 以 建立 共同 
支持 的 安全 参数 。 客 户 端 首先 向 服务 器 发 送 问候 信息 ， 包 括 : 客户 端 主机 安装 的 SSL 最 高 
版 本 号 ， 客 户 端 伪 随 机 数 生成 器 秘密 产生 的 一 个 随机 串 ， 防 止 重 放 攻击 ， 会 话 标识 ， 密 码 
算法 组 ， 压 缩 算法 (ZIP、PKZIP 等 )。 其 中 密码 算法 组 是 指 客户 端 主机 支持 的 所 有 公 钥 密码 
算法 、 对 称 加 密 算法 和 Hash 函数 算法 。 按 优先 顺序 排列 ， 排 在 第 一 位 的 算法 是 客户 主机 最 
希望 使 用 的 算法 。 

(2) 对 服务 器 的 认证 和 密 钥 交 换 。 

服务 器 程序 向 客户 程序 发 送 服务 器 的 公 角 证书， 包含 X.509 类 型 的 证 书 列 表 。 如 果 密 
钥 交 换算 法 是 匿名 Dffie-Hellman， 就 不 需要 证 书 。 工 作 过 程 如 下 。 

@ 生成 服务 器 端的 密 钥 交换 信息 。 包 括 对 预备 主 密 钥 的 分 配 。 如 果 密 钥 交 换 方法 是 
RSA 或 者 固定 Diffie-Hellman， 就 不 需要 这 个 信息 。 

@@ 询问 客户 端的 公 角 证书。 向 客户 端 请 求 第 3 阶段 的 证 书 。 如 果 给 客户 使 用 的 是 匿 
名 Diffie-Hellman， 服 务 器 就 不 向 客户 端 请 求证 书 。 

图 ”完成 服务 器 问候 。 该 信息 用 ServerHelloDone 表示 ， 表 示 第 2 阶段 结束 ， 第 3 阶段 
开始 。 

(3) 对 客户 端的 认证 和 密 钥 交换 。 

客户 程序 向 服务 器 程序 发 送 客户 公 钥 证 书 。 和 第 2 阶段 第 @ 步 信息 格式 相同 ， 但 内 容 
不 同 ， 它 包含 证 明 客户 的 证 书 链 。 只 有 在 第 2 阶段 第 @ 步 请 求 了 客户 端的 证 书 ， 才 发 送 这 
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个 信息 。 如 果 有 证 书 请 求 ， 但 客户 没有 可 发 送 的 证 书 ， 它 就 发 送 一 个 SSL 提醒 信息 (携带 一 
个 没有 证 书 的 警告 )。 服 务 器 也 许 会 继续 这 个 会 话 ， 也 可 能 会 决定 终止 。 工 作 过 程 如 下 。 

@ ”生成 客户 端的 密 钥 交 换 信息 。 用 于 产生 双方 将 使 用 的 主 密 钥 ， 包 含 对 预备 主 密 钥 
的 贡献 。 信 息 的 内 容 基于 所 用 的 密 钥 交换 算法 。 如 果 密 钥 交 换算 法 是 RSA， 客 户 就 创建 完 
整 的 预备 主 密 钥 并 用 服务 器 RSA 公 钥 进行 加 密 。 如 果 是 匿名 Diffie-Hellman 或 暂时 
Diffie-Hellman， 客 户 就 发 送 Diffie-Hellman 半 密 钥 ， 等 等 。 

@ 证书 验证 。 如 果 客 户 发 送 了 一 个 证 书 ， 宣 布 它 拥 有 证 书 中 的 公 钥 ， 就 需要 证 实 它 
知道 相关 的 私 钥 。 这 对 于 阻止 一 个 发 送 了 证 书 并 声称 该 证 书 来 自 客户 的 假冒 者 是 必需 的 。 
通过 创建 一 个 信息 并 用 私 钥 对 该 信息 进行 签名 ， 可 证 明 它 拥有 私 钥 。 例 如 客户 用 私 钥 对 前 
发 送 的 明文 的 Hash 值 进行 签名 。 

图 ”假设 服务 器 在 第 1 阶段 选取 了 RSA 作为 密 钥 交换 手段 ， 则 客户 程序 用 如 下 方法 产 
生 密 钥 交换 信息 : 客户 程序 验证 服务 器 公 钥 证 书 的 服务 器 公 钥 ， 然 后 用 伪 随 机 数 生成 器 产 
生 一 个 48 字 节 长 的 比特 字符 串 spm， 称 为 前 主 密 钥 。 然 后 用 服务 器 公 钥 加 密 spm， 将 密 文 
作为 密 钥 交换 信息 传 给 服务 器 。 这 时 ， 客 户 端 和 服务 器 端 均 拥有 spm， 且 spm 是 仅仅 被 客 
户 和 服务 器 所 拥有 。 

(4) 结束 。 

双方 互 送 结束 信息 完成 握手 协议 ， 并 确认 双方 计算 的 主 密 钥 相同 。 为 达到 此 目的 ， 结 
束 信息 将 包含 双方 计算 的 主 密 钥 的 Hash 值 。 此 后 ,客户 和 服务 器 将 转 用 SSL 记录 协议 进行 
后 续 的 通信 。 

2) ”SSL 记录 协议 

执行 完 握手 协议 之 后 ， 客 户 和 服务 器 双方 统一 了 密码 算法 、 算 法 参数 、 密 钥 及 压缩 算 
法 。SSL 记录 协议 便 可 使 用 这 些 算法 、 参 数 和 密 钥 对 数据 进行 保密 及 认证 处 理 。 令 M 为 客 
户 希望 传送 给 服务 器 的 数据 ,客户 端 SSL 记录 协议 首先 将 M 分 成 若干 长 度 不 超过 214 字 节 
的 分 段 : M1，M2，…，Mx。 令 CX、H 和 下 分 别 为 客户 端 和 服务 器 双方 在 SSL 握手 协议 中 
选 定 的 压缩 函数 、HMAC 算法 和 加 密 算法 。 

3) ”SSL/TLS 协议 的 安全 机 制 

SSL/TLS 协议 实现 的 安全 机 制 包括 身份 验证 机 制 、 数 据 传输 的 机 密 性 与 消息 完整 性 
验证 。 

(1) 身份 验证 机 制 。 

SSL/TLS 协议 基于 证 书 并 利用 数字 签名 方法 对 服务 器 和 客户 端 进行 身份 验证 ， 其 中 客 
户 端的 身份 验证 可 选 。 在 该 协议 机 制 中 , 客户 端 必须 验证 SSL/TLS 服务 器 的 身份 , SSL/TLS 
服务 器 是 否 验证 客户 端 身份 ， 自 行 决定 。SSLTLS 利用 PK 提供 的 机 制 保证 公 钥 的 真实 性 。 

(2) 数据 传输 的 机 密 性 。 

可 以 利用 对 称 密 钥 算法 对 传输 的 数据 进行 加 密 。 网 络 上 传输 的 数据 很 容易 被 非法 用 户 
窃取 ，SSL/ATLS 协议 采用 在 通信 双方 之 间 建 立 加 密 通道 的 方法 保证 数据 传输 的 机 密 性 。 所 
谓 加 密 通 道 ， 是 指 发 送 方 在 发 送 数 据 前 ， 使 用 加 密 算法 和 加 密 密 钥 对 数据 进行 加 密 ， 然 后 
将 数据 发 送 给 对 方 ， 接 收 方 接 收 到 数据 后 ， 利 用 解密 算法 和 解密 密 钥 从 密 文中 获取 明文 ， 
从 而 保证 数据 传输 的 机 密 性 。 没 有 解密 密 钥 的 第 三 方 ， 无 法 将 密 文 恢复 为 明文 。SSL/TLS 
加 密 通 道上 的 数据 加 解密 使 用 对 称 密 钥 算法 , 目前 主要 支持 的 算法 有 DES、3DES、AES 等 ， 
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这 些 算法 都 可 以 有 效 防止 交互 数据 被 窃听 。 

(3) 消息 完整 性 验证 。 

消息 传输 过 程 中 使 用 MAC 算法 来 检验 消息 的 完整 性 ,为 了 避免 网 络 中 传输 的 数据 被 非 
法 算 改 ，SSL/TLS 利用 基于 MD5 或 SHA 的 MAC 算法 来 保证 消息 的 完整 性 。MAC 算法 可 
以 将 任意 长 度 的 数据 转换 为 固定 长 度 的 数据 。 发 送 者 利用 已 知 密 钥 和 MAC 算法 计算 出 消息 
的 MAC 值 ， 并 将 其 附加 在 消息 之 后 发 送 给 接收 者 。 接 收 者 利用 同样 的 密 钥 和 MAC 算法 计 
算出 消息 的 MAC 值 ， 并 与 接收 到 的 MAC 值 比较 。 如 果 二 者 相同 ， 则 报 文 没有 改变 ; 否则 ， 
报 文 在 传输 过 程 中 被 修改 。 


5.5.2 ”6LoWPAN 适 配 层 的 安全 


为 了 让 IPv6 协议 能 在 正 EE 802.15.4 协议 之 上 工作 ， 导 致 了 6LoWPAN 适 配 层 的 提出 。 
这 一 解决 方法 正在 被 IPSO 联盟 所 推广 ， 是 IPSO 提出 的 智能 对 象 (Smart Object)、 基 于 
Internet(Internet-based，Web-enabled) 的 无 线 传感器 网 络 等 应 用 的 基本 技术 。 由 27 个 公司 发 
起 的 针对 智能 对 象 联 网 的 卫 标准 协作 组 织 IPSO(P for Smart Object alliance) 目 前 已 有 45 个 
成 员 ， 包 括 Cisco、SAP、SUN、Bosch、Intel 等 ， 该 组 织 提出 的 IPv6 协议 栈 nIPv6 可 以 和 
主流 厂商 的 协议 栈 互 操作 ， 其 轻 量 级 的 代码 只 需要 11.5 KB 的 内 存 。 

1. 6LoWPAN 协议 简介 


IETF 于 2004 年 成 立 6LoWPAN(IPV6 over Low-power Wireless Personal Area Network) 
工作 组 , 致力 于 将 TCP/IPV6 协议 栈 构建 于 IEEE 802.15.4 标准 之 上 , 并 且 通 过 路 由 协议 构建 
自 组 织 方式 的 低 功 耗 、 低 速率 的 6LoWPAN 网 络 。 第 一 个 6LoWPAN 规范 RFC4919 给 出 了 
标准 的 基本 目标 和 和 需求， 然后 RFC4944 中 规范 了 6LoWPAN 的 格式 和 功能 。 通 过 部 署 和 实 
现 的 经 验 ，6LoWPAN 工作 组 进一步 公布 了 包头 压缩 (Header Compression) 、 邻 居 发 现 
(Neighbor Discovery)、 用 例 (Use Case) 及 路 由 需求 等 文档 。2008 年 ，IETF 成 立 了 一 个 新 的 工 
作 组 ROLL(Routing Over Low-power and Lossy Networks)， 规 范 了 低 功 耗 有 损 网 络 
(Low-power and Lossy Network，LLN) 中 路 由 的 需求 及 解决 方案 。 在 6LoWPAN 提出 后 ， 很 
多 组 织 、 标 准 或 联盟 都 提出 了 相应 的 兼容 性 方案 。 

在 2008 年 ，ISA 开始 为 无 线 工业 自动 化 控制 系统 制定 标准 ， 称 为 SP100.11a( 也 称 为 
ISA100)， 该 标准 基于 6LoWPAN。 

同样 是 2008 年 ，IPSO 联盟 成 立 ， 推 动 在 智能 对 象 上 使 用 卫 协议 。 

IP500 联盟 主要 致力 于 针对 商业 和 企业 建筑 自动 化 及 过 程控 制 系统 的 开放 无 线 Mesh 网 
络 ， 是 一 个 在 IEEE 802.15.4(sub-GHz) 无 线 电 通信 上 建立 6LoWPAN 的 联盟 ，sub-GHz ISM 
频段 是 433 MHz、868 MHz 和 915 MHz， 使 用 该 频段 的 原因 是 当 2.4 GHz ISM 频段 变 得 拥 
挤 时 ，sub-GHz 比 2.4GHz 有 更 好 的 低频 穿 透 能 力 ， 达 到 更 大 的 传输 距离 。 

1994 年 成 立 的 开放 地 理 空 间 论坛 (Open Geospatial Consortium, OGC) 规 范 了 一 个 基于 人 Pp 
的 地 理 空间 和 感知 应 用 的 解决 方案 。 

2009 年 ， 欧 洲 通信 标准 研究 院 (European Telecommunication Standards Instituate，ETSD 
成 立 了 一 个 工作 组 ， 制 定 M2M 标准 ， 其 中 包括 端 到 端的 与 CoWPAN 兼容 的 卫 架构 。 
图 5-22 给 出 了 6LoWPAN 与 相关 标准 和 联盟 的 关系 。 
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物 联网 中 特别 是 可 通过 Internet 访问 的 传感器 网 络 ， 其 节点 数目 巨大 ， 分 布 在 户外 并 且 
位 置 可 能 是 动态 变化 的 。IPv6 由 于 具有 地 址 空间 大 、 地 址 自动 配置 、 邻 居 发 现 等 特性 ， 
此 特别 适合 作为 此 类 物 联网 的 网 络 层 。 同 时 在 技术 上 ，IPv6 的 巨大 地 址 空间 能 够 满足 节点 
数量 庞大 的 网 络 地 址 需求 ; IPv6 的 一 些 新 技术 (如 邻居 发 现 、 无 状态 的 地 址 自动 配置 等 技术 ) 
使 自动 构建 网 络 时 要 相对 容易 一 些 。IPv6 与 IEEE 802.15.4 的 MAC 层 的 结合 ， 可 以 轻松 实 
现 大 规模 传感器 (智能 对 象 ) 网 络 与 Intemet 的 互联 ， 并 能 够 远程 访问 这 些 传感器 (智能 对 象 ) 
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5-22 ”6LoWPAN 与 相关 标准 和 各 工业 联盟 标准 间 的 关系 
2. 6LoWPAN 要 解决 的 问题 


IETF 6LoWPAN 草案 标准 是 专门 为 将 他 扩展 到 低速 率 有 损 无 线 网 络 而 设计 的 ， 其 在 整 
个 TCP/IP 协议 栈 中 的 位 置 是 处 于 卫 和 802.15.4 之 间 的 一 个 适 配 层 。 该 适 配 层 的 功能 包括 包 
的 分 片 /组 装 、 试 运行 /启动 (自动 配置 )、 邻 居 发 现 的 优化 、Mesh 路 由 等 功能 。 

具体 而 言 ，6LoWPAN 需要 解决 的 问题 如 下 。 

(1) IP 连接 问题 。IPv6 巨大 的 地 址 空间 和 无 状态 地 址 自动 配置 技术 使 数量 巨大 的 传 感 
器 节点 (智能 对 象 ) 可 以 方便 地 接 入 包括 Intemet 在 内 的 各 种 网 络 。 但 是 ， 由 于 有 报 文 长 度 和 
节点 能 量 等 方面 的 限制 ， 标 准 的 IPv6 报 文 传输 和 地 址 前 缀 通告 无 法 直接 用 于 IEEE 802.15.4 
网 络 。 

(2) 网 络 拓扑 。IPv6 over IEEE 802.15.4 网 络 需 要 支持 星 型 和 Mesh 拓扑 。 当 使 用 Mesh 
拓扑 时 ， 报 文 可 能 需要 在 多 跳 网 络 中 进行 路 由 ， 类 似 于 Ad Hoc 网 络 中 的 情形 。 但 同样 是 由 
于 报 文 长 度 和 节点 能 量 的 限制 ，IEEE 802.15.4 上 层 路 由 协议 应 该 更 简单 ， 管 理 的 消耗 也 应 
该 更 少 。 此 外 ， 还 需要 考虑 到 节点 计算 和 存储 能 力 的 限制 。 有 具体 而 言 ， 路 由 协议 对 于 数据 
报 文 的 开销 必须 小 ， 且 与 路 由 跳 数 无 关 ; 在 路 由 过 程 中 ， 所 需要 的 内 存 和 计算 必须 小 ， 以 
满足 低 开销 、 低 能 量 的 目的 ;不 可 能 使 用 大 量 的 内 存 来 维护 路 由 表 ; 在 6LoWPAN 支持 的 
所 有 拓扑 中 ， 各 类 节点 都 能 选择 电池 供电 或 者 固定 电源 供电 ， 因 此 需要 考虑 在 休眠 模式 下 
路 由 协议 的 实现 ， 能 够 通过 网 关 或 者 其 他 方式 同 其 他 类 型 的 网 络 (如 以 太 网 ) 进 行 无 颖 连接 。 
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(3) 报 文 长 度 限制 。IPv6 要 求 支持 最 小 1280 字 节 的 MTU， 而 IEEE 802.15.4 最 大 支持 
102 字 节 MAC 帧 长 。 一 方面 需要 IEEE 802.15.4 网 络 的 应 用 尽量 发 送 小 的 报 文 以 避免 分 片 ， 
另 一 方面 也 需要 节点 在 链 路 层 提 供 对 超过 102 字 节 的 IPv6 报 文 的 分 片 和 重组 。 

(4) 有 限 的 配置 和 管理 。 在 IEEE 802.15.4 网 络 中 ， 大 量 设备 被 期 望 能 布置 于 各 种 环境 
中 ， 而 这 些 设备 仅仅 拥有 有 限 的 显示 和 输入 功能 。 因 此 ，IEEE 802.15.4 网 络 所 使 用 的 协议 
应 该 是 只 需要 最 少量 配置 并 且 易于 初始 化 。 有 些 部 署 地 点 是 人 无 法 到 达 的 地 方 ， 因 此 需要 
节点 有 一 定 的 自 配置 功能 。 另 外 ，MAC 层 以 上 运行 的 协议 的 配置 也 要 尽量 简单 ， 并 且 需 要 
网 络 拓扑 有 一 定 的 自 愈 能 力 。 

(5) 组 播 限制 。IPv6 特别 是 其 邻居 发 现 协议 的 许多 功能 均 依 赖 于 IP 组 播 。 然 而 IEEE 
802.15.4 仅 提 供 有 限 的 广播 支持 ， 不 论 在 星 型 还 是 Mesh 拓扑 中 ， 这 种 广播 均 不 能 保证 所 有 
的 节点 都 能 接收 到 封装 在 其 中 的 IPv6 组 播报 文 。 

(6) 安全 问题 。IEEE 802.15.4 提供 基于 AES 的 链 路 层 安全 支持 ， 然 而 该 标准 并 没有 定 
义 诸 如 初始 化 、 密 钥 管理 及 上 层 安 全 性 之 类 的 细节 。 

对 上 述 问 题 ， 6LoWPAN 工作 组 提出 了 一 些 解决 方案 ,解决 方案 的 性 能 评价 指标 主要 是 
报 文 消耗 、 带 宽 消耗 、 处 理 需 求 及 能 量 消 耗 ， 这 4 个 方面 也 是 影响 6LoWPAN 网 络 性 能 的 
主要 因素 。 下 面 介 绍 该 解决 方案 。 

(1) 分 片 与 重组 。 为 了 解决 IPv6 最 小 MTU 为 1280 字 节 ， 与 IEEE 802.15.4 帧 长 有 81 
字 节 冲突 的 问题 ，6LoWPAN 需要 对 IPv6 报 文 进行 链 路 层 的 分 片 和 重组 。 

(2) 报头 压缩 。 在 使 用 IEEE 802.15.4 安全 机 制 时 , IP 报 文 只 有 81 字 节 的 空间 , 而 IPv6 
头 部 需要 40 字 节 , 传输 层 的 UDP 和 TCP 头 部 分 别 为 8 和 20 字 节 , 这 就 只 留 给 了 上 层 数 据 
33 或 21 字 节 。 如果 不 对 这 些 报头 进行 压缩 的 话 , 6LoWPAN 数据 传输 的 效率 将 是 非常 低 的 。 

(3) 组 播 支持 。IEEE 802.15.4 并 不 支持 组 播 ， 也 不 提供 可 靠 的 广播 ，6LoWPAN 需要 
提供 额外 的 机 制 以 支持 IPv6 在 这 方面 的 需要 。 

(4) 网 络 拓扑 管理 。IEEE 802.15.4 MAC 层 协 议 仅 提供 基本 的 点 对 点 的 传输 , 无 法 很 好 
地 支持 IPv6。 因 此 必须 在 IP 层 以 下 、MAC 层 以 上 构建 一 定 的 网 络 拓扑 ， 形 成 合适 的 拓扑 
结构 ， 如 星 型 、 树 型 或 者 Mesh。6LoWPAN 负责 调用 MAC 层 提供 的 原 语 ， 以 形成 正确 的 
多 跳 拓 扑 。 

(5) Mesh 路 由 。 一 个 支持 多 跳 的 Mesh 路 由 协议 是 必要 的 ， 但 现 有 的 一 些 无 线 网 络 路 
由 协议 (如 AODYV 等 ) 并 不 能 很 好 地 适应 LoWPAN 的 特殊 情况 , 这 些 路 由 协议 大 多 是 通过 广 
播 方式 进行 路 由 询问 ， 对 于 能 量 供应 相当 有 限 的 节点 来 讲 是 很 不 现实 的 。 

(6) 安全 性 。6LoWPAN 需要 考虑 安全 性 。 这 一 方面 还 有 很 多 工作 要 开展 。 对 应 于 上 面 
的 6LoWPAN 引入 的 新 处 理 ， 可 能 存在 的 安全 问题 包括 : 分 片 与 重组 攻击 ， 报 头 压缩 相关 
的 攻击 (如 错误 的 压缩 、 拒 绝 服务 攻击 )， 轻 量 级 组 播 安 全 ，Mesh 路 由 安全 等 。 


3. 6LoWPAN 的 安全 性 分 析 


因为 分 片 与 重组 的 存在 ， 报 文中 与 分 片 /重组 过 程 相关 的 参数 有 可 能 会 被 攻击 者 修改 或 
重 构 ， 如 数据 长 度 (Datagram Size)、 数 据 标签 (Datagram Tag)、 数 据 偏 移 (Datagram_ Offseb 
等 ， 从 而 引起 意外 重组 、 重 组 溢出 、 重 组 乱 序 等 问题 ， 进 而 使 节点 资源 被 消耗 、 停 止 工作 、 
重启 等 ， 以 这 些 现 象 为 表现 的 攻击 被 称 为 卫 包 碎片 攻击 (IP Packet Fragmentation Attack), 进 
而 可 引发 DoS 攻击 和 重播 攻击 。 所 以 ，H. Kim 等 人 提出 了 在 6LoWPAN 适 配 层 增加 时 间 惟 
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(Timestamp) 和 随机 序列 (Nonce) 选 项 来 保证 收 到 的 数据 包 是 最 新 的 ， 从 而 防止 数据 包 在 传输 
过 程 被 攻击 者 修改 或 重 构 ， 进 而 有 效 地 防止 IP 包 碎 片 攻 击 。W. Jung 等 人 提出 并 实现 了 一 
整套 在 6LoWPAN 网 络 中 实现 SSL(Secure Sockets Layer， 安 全 套 接 层 ) 的 方案 ， 他 们 在 密 钥 
分 发 上 对 ECC 和 RSA 做 了 比较 ， 在 密码 算法 上 对 RC4、DES、3DES 做 了 比较 ， 在 消息 认 
证 上 使 用 MD5 和 SHA-1 函数 ， 最 后 发 现 ECC-RC4-MDS5 的 组 合 消耗 的 资源 最 小 ， 分 别 占 
用 64 KB 的 Flash 和 7KB 的 RAM， 实 现 一 次 完整 的 SSL 握手 需要 2s。 

RFC 工作 文档 给 出 了 一 些 对 6LoWPAN 安全 的 分 析 ， 可 自行 参考 。 本 节 主 要 介绍 IEEE 
802.15.4 的 安全 性 。IEEE 802.15.4 MAC 层 提供 了 安全 服务 ， 由 MAC PIB(PAN Information 
Base) 控 制 ，MAC 子 层 在 PIB 中 维护 一 个 访问 控制 列表 (ACL)， 通 过 针对 某 个 通信 方 设 定 一 
个 ACL 中 的 安全 套件 (Security Suite)， 设 备 可 以 确定 使 用 什么 安全 级 别 ( 即 无 安全 、 访 问 控 
制 、 数 据 加 密 、 帧 完整 性 等 ) 与 该 通信 方 通信 。 

IEEE 802.15.4 MAC 的 一 个 关键 功能 就 是 提供 了 帧 安全 性 。 帧 安全 性 其 实 是 MAC 层 提 
供给 上 层 的 可 选 服务 。 取 决 于 应 用 的 需求 ， 若 应 用 并 没有 设 定 任何 安全 参数 ， 则 这 一 安全 
功能 默认 是 中 止 的 。IEEE 802.15.4 定义 了 4 种 包 类 型 : Beacon 包 、 数 据 包 、 确 认 包 以 及 控 
制 包 。 对 于 确认 包 没有 安全 机 制 ， 其 他 的 包 类 型 可 以 选择 是 否 需 要 完整 性 保护 或 者 保密 性 
保护 。 由 于 IEEE 802.15.4 的 应 用 十 分 广泛 , 因此 认证 和 密 钥 交 换 机 制 在 标准 中 并 没有 定义 ， 
留 给 上 层 应 用 来 定义 。 

关于 他 的 安全 性 ,IPSec 可 以 保证 他 包 的 完整 性 和 保密 性 ,IPSec 支持 AH 来 认证 全 头 ， 
以 及 用 ESP 来 认证 和 加 密 包 负载 。IPSec 的 主要 问题 是 处 理 能 耗 和 密 钥 管理 。 目 前 并 不 清楚 
在 6LoWPAN 节点 上 实现 SADB、 策 略 库 、 动 态 密 钥 管理 协议 是 否 是 合适 的 。 基 于 目前 的 
硬件 情况 ，6LoWPAN 节点 上 不 适合 实现 所 有 的 IPSec 算法 ， 即 使 是 功能 略 强 的 FFD 或 者 
RFD 节点 。 另 外 ,由 于 带宽 也 是 6LoWPAN 中 一 个 非常 紧缺 的 资源 ，IPSec 需要 在 每 个 包 中 
额外 传输 包头 (AH 或 者 ESP), 这 可 能 会 带 来 沉重 的 负担 。 IPSec 需要 两 个 通信 方 共享 一 个 秘 
密 密 钥 ， 这 一 密 钥 通常 是 通过 IEv2 协议 同 态 建立 的 ， 因此， 这 又 增加 了 I 区 Ev2 协议 的 通 
信和 负担 。 由 于 邻居 发 现 协议 在 6LoWPAN 中 使 用 ， 因 此 安全 邻居 发 现 协 议 (Secure Neighbor 
Discovery ，SeND) 应 该 被 考虑 。SeND 在 IP 网 络 中 工作 良好 ， 但 协议 中 使 用 的 
CGA(Crypto-Generated Address) 技 术 是 基于 RSA 密码 的 , RSA 与 椭圆 曲线 密码 (ECC) 相 比 需 
要 更 大 的 包 尺寸 和 处 理 时 间 。 因 此 ， 一 个 合理 的 可 能 性 就 是 在 SeND 协议 中 使 用 ECC 来 用 
于 6LoWPAN 网 络 。 

关于 密 钥 管理 方面 ， 由 于 节点 资源 受 限 ， 缺 乏 物理 保护 ， 无 人 值守 操作 ， 且 与 物理 环 
境 的 密切 交互 ， 这 些 都 使 得 在 6LoWPAN 中 使 用 常用 的 密 钥 交 换 技术 变 得 不 太 可 行 。 常 见 
的 3 种 密 钥 管理 技术 ， 即 基于 可 信 第 三 方 的 密 钥 分 配 技术 、 密 钥 预 分 配 技 术 、 基 于 公 钥 密 
码 的 技术 ， 均 面临 一 些 困难 。 基 于 可 信 第 三 方 的 技术 ， 如 Kerberos， 具 有 单一 失效 点 ， 这 一 
方法 不 适合 6LoWPAN。 因 为 不 能 保证 和 可 信 第 三 方 的 连接 总 是 可 用 的 ， 特 别 是 在 LLN 网 
络 中 。 基 于 密 钥 预 分 配 的 技术 需要 网 络 部 署 者 事先 知道 节点 的 布局 ， 节 点 之 间 的 相 邻 关系 ， 
但 是 ， 由 于 节点 部 署 的 随机 性 ， 这 种 相 邻 关系 可 能 无 法 事先 获得 ， 而 且 若 节点 可 能 在 网 络 
部 署 时 已 被 入 侵 者 攻击 , 动态 在 线 (On-site) 密 钥 管 理 技 术 比 起 密 钥 预 分 配 要 更 加 有 利于 处 理 
网 络 的 动态 性 。 基 于 公 钥 密码 的 密 钥 分 配 技术 ， 如 数字 证 书 ， 在 6LoWPAN 节点 上 可 能 计 
算 能 耗 较 高 ， 如 DH 密 钥 协商 、RSA 或 者 ECC 等 ， 但 是 有 研究 表明 ECC 可 在 传感器 节点 
上 实现 。 
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在 密 钥 管 理 方面 的 建议 如 下 。 

(1) 敌对 节点 可 能 在 节点 布置 阶段 隐藏 在 其 他 节点 之 中 ， 因 此 在 启动 阶段 的 安全 密 钥 
分 配 是 一 个 研究 问题 。 

(2) 节点 在 工作 过 程 中 被 捕获 ， 因 此 ， 密 钥 回收 必须 考虑 。 

(3) 在 睡眠 模式 中 ， 给 睡眠 节点 的 密 钥 必须 可 以 从 唤醒 模式 的 节点 中 推导 出 来 。 

(4) 一 旦 密 钥 暴露 了 ， 必 须 诊断 安全 的 破坏 情况 。 

(5) 密 钥 管理 机 制 应 该 允许 增加 新 的 节点 。 

4. RPL 和 CoAP 的 安全 性 讨论 


最 后 简要 讨论 一 下 在 6LoWPAN 层 以 上 的 路 由 协议 RPL 的 安全 性 以 及 应 用 层 CoAP 协 
议 的 安全 性 。 两 者 的 安全 性 研究 仍然 在 继续 中 。 








1) ”RPL 的 安全 性 
IPv6 的 路 由 协议 需要 修改 以 适合 LLN， 即 RPL(Routing Protocol for LLN) 协 议 。 该 协议 
定义 了 能 够 在 LLN 环境 中 使 用 的 点 到 点 、 点 到 多 点 、 多 点 到 点 的 路 由 协议 。RPL 是 一 个 高 


度 模块 化 的 协议 ， 其 路 由 协议 的 核心 是 满足 特定 应 用 的 路 由 需求 的 交集 ， 而 对 于 特定 的 需 
求 ， 可 以 通过 添加 附加 模块 的 方式 满足 。RPL 是 一 个 距离 向 量 协议 ， 它 创建 一 个 DODAG 
(Destination Oriented Directed Acyclic Graph)， 其 中 路 径 从 网 络 中 的 每 个 节点 到 DODAG 根 
(通常 是 汇 点 或 者 LBR)。RPL 中 用 到 的 术语 DAG(Directed Acyclic Graph) 是 有 向 非 循环 图 ， 
DAG Root 表示 DAG 根 节点 。 所 有 的 DAG 必须 有 至 少 一 个 DAG 根 ， 并 且 所 有 路 径 终止 于 
一 个 根 节点 。DODAG 是 面向 目的 地 的 有 向 非 循环 图 ， 是 以 单独 一 个 目的 地 为 根 的 DAG。 
DODAG Root 是 一 个 DODAG 的 DAG 根 节点 ， 它 可 能 会 在 DODAG 内 部 担当 一 个 边界 路 
由 器 ， 尤 其 是 可 能 作为 DODAG 内 部 聚合 路 由 ， 并 重新 分 配 DODAG 路 由 到 其 他 路 由 协议 
内 。 一 个 节点 的 等 级 定义 了 该 节点 相对 于 其 他 节点 关于 一 个 DODAG 根 节点 的 唯一 位 置 。 
OF(Objective Function) 表 示 目 标 函 数 ， 定 义 了 路 由 度量 、 最 佳 目 的 以 及 相关 函数 如 何 被 用 来 
计算 出 Rank 值 。 此 外 ，OF 指出 了 在 DODAG 内 如 何 选择 父 节 点 从 而 形成 DODAG 。 

2) ”CoAP 的 安全 性 简介 

CoAP(Constrained Application Protocol) 协 议 是 用 于 M2M 应 用 的 轻 量 级 应 用 层 协议 ， 可 
以 作为 智能 对 象 网 络 的 应 用 层 协 议 。 关 于 CoAP 安全 架构 的 研究 ， 比 较 成 熟 的 模型 是 部 署 
模型 ， 这 一 架构 的 根本 点 是 自生 成 安全 标识 (Self-Generated Secure Identity)， 这 和 CGA 
(Cryptographically Generated Addresses) 类 似 。 安 全 标识 可 用 于 安全 凭证 、 共 享 的 秘密 、 安 全 
策略 信息 ， 也 可 用 于 识别 认证 的 设备 。 有 多 种 方式 可 完成 在 设备 部 署 阶段 收集 标识 信息 。 
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本 章 主要 介绍 网 络 层 安 全 基本 概念 ， 对 WLAN 安全 、 移 动 通信 网 安全 、 扩 展 接 入 网 安 
全 进行 讲解 。 并 对 6LoWPAN 和 RPL 的 安全 性 做 介绍 ， 对 下 一 代 网 络 安全 进行 分 析 。 此 外 ， 
还 对 无 线 局 域 网 进行 了 讲解 。 物 联网 中 的 感知 层 终端 系统 ， 如 RFID 读 写 器 、 无 线 传感器 网 
络 的 网 关节 点 以 及 智能 手机 ， 都 可 以 通过 无 线 局 域 网 连接 到 Intemet， 因 此 ， 需 要 考虑 无 线 
局 域 网 的 安全 。 
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会 物 联 网 应 用 层 安 全 技术 分 析 


学 习 导 读 


物 联网 应 用 层 安 全 包括 服务 端的 安全 问题 。 服 务 端 安全 涉及 的 范 
围 可 以 更 广 ， 如 服务 器 端的 访问 控制 技术 、 数 据 库 安全 相关 技术 、P2P 
安全 技术 等 。 本 章 主 要 介绍 的 是 一 种 新 兴 的 热门 服务 端 模式 ， 即 云 计 
算 。 这 是 因为 云 计算 与 物 联网 相 结合 ， 可 以 发 挥 “ 物 ” 端 和 “ 云 ” 端 
的 各 自 特 点 和 优势 ，“ 物 ”端的 轻便 性 往往 制约 了 后 端 设备 的 存储 和 
计算 能 力 ，“ 云 ” 端 可 以 弥补 这 一 不 足 ， 提 供 按 需 存储 和 计算 能 
特别 是 当 物 联网 的 规模 足够 大 时 ， 就 需要 和 云 计算 结合 起 来 ， 例 如 ， 
在 大 型 的 行业 应 用 中 需要 大 量 的 后 端 数据 支持 和 管理 ; M2M 应 用 中 
接 入 网 络 的 终端 数量 规模 巨大 ， 因 此 都 需要 云 计 算 中 心 提供 强大 的 后 
端 存储 和 计算 支持 。 
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6.1 物 联 网 应 用 层 安 全 需求 


6.1.1 应 用 层面 临 的 安全 问题 


应 用 层 主要 用 来 对 接收 的 信息 加 以 处 理 ， 要 对 接收 的 信息 进行 判断 ， 分 辨 其 是 有 用 信 
息 、 垃 圾 信息 还 是 恶意 信息 。 处 理 的 数据 有 一 般 性 数据 和 操作 指令 ， 因 此 ， 要 特别 警惕 错 
误 指令 ， 比 如 指令 发 出 者 的 操作 失误 、 网 络 传输 错误 等 造成 的 错误 指令 ， 或 者 是 攻击 者 的 
恶意 指令 。 识 别 有 用 信 息 ， 并 有 效 防范 恶意 信息 和 指令 带 来 的 威胁 是 物 联网 应 用 层 的 主要 
安全 问题 ， 具 体 包括 以 下 几 个 方面 。 

(1) 超大 量 终端 提供 了 海量 的 数据 ， 来 不 及 识别 和 处 理 。 

(2) 智能 设备 的 智能 失效 ， 导 致 效率 严重 下 降 。 

(3) 自动 处 理 失 控 。 

(4) 无 法 实现 灾难 控制 并 从 灾难 中 恢复 。 

(5) 非法 人 为 干预 造成 故障 。 

(6) 设备 从 网 络 中 逻辑 丢失 。 


6.1.2 ”应 用 层 安 全 技术 需求 


由 于 应 用 层 涉及 多 领域 多 行业 ， 物 联网 广 域 范围 的 海量 数据 信息 处 理 和 业务 控制 策略 
目前 在 安全 性 和 可 靠 性 方面 仍 存在 较 多 的 技术 瓶颈 且 难 以 突破 ， 特 别 是 业务 控制 和 管理 、 
业务 逻辑 、 中 间 件 、 业 务 系统 关键 接口 等 环境 安全 问题 尤为 突出 。 另 外 ， 网 络 传输 模式 有 
单 播 通信 、 组 播 通信 和 广播 通信 ， 不 同 通信 模式 需要 有 相应 的 认证 和 机 密 性 保护 机 制 。 对 
于 物 联 网 综合 应 用 层 的 安全 威胁 及 其 对 应 的 安全 需求 ， 需 要 的 安全 机 制 包括 数据 库 访 问 控 
制 和 内 容 筛 选 机 制 、 信 息 泄露 追踪 机 制 、 隐 私信 息 保护 技术 、 取 证 技术 、 数 据 销 毁 技 术 、 
知识 产权 保护 技术 等 。 需 要 发 展 的 相关 密码 技术 有 访问 控制 、 门 限 密码 、 匿 名 签名 、 匿 名 
认证 、 密 文 验证 、 叛 逆 追 踪 、 数 字 水 印 和 指纹 技术 等 。 























6.2 Web 安全 


随 着 Web 2.0、 社 交 网 络 、 微 博 等 一 系列 新 型 互联 网 产品 的 诞生 ， 基 于 Web 环境 的 互 
联网 应 用 越 来 越 广泛 。 在 企业 信息 化 的 过 程 中 ， 各 种 应 用 都 架设 在 Web 平台 上 ，Web 业务 
的 迅速 发 展 也 引起 黑客 们 的 强烈 关注 ， 接 中 而 至 的 就 是 Web 安全 威胁 的 凸显 。 黑 客 利用 网 
站 操作 系统 的 漏洞 和 Web 服务 程序 的 SQL 注入 漏洞 等 得 到 Web 服务 器 的 控制 权限 ， 轻 则 
算 改 网 页 内 容 ， 重 则 窃取 重要 内 部 数据 ， 更 为 严重 的 则 是 在 网 页 中 植 入 恶意 代码 ， 使 得 网 
站 访问 者 受到 侵害 。 这 也 使 得 越 来 越 多 的 用 户 关注 应 用 层 的 安全 问题 ， 对 Web 应 用 安全 的 
关注 度 也 逐渐 升温 。 
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6.2.1 Web 结构 原理 
1. Web 简介 


Web 是 一 种 体系 结构 ,是 mtemet 提供 的 一 种 界面 友好 的 信息 服务 。Web 上 的 海量 信息 
是 由 彼此 关联 的 文档 组 成 ， 这 些 文档 称 为 主页 (Home Page) 或 页 面 (Page)， 它 是 一 种 超 文 本 
(Hypertexb 信 息 ， 而 使 其 连接 在 一 起 的 是 超 链 接 (Hyperlink)。 通 过 Web 可 以 访问 遍布 于 
Internet 主机 上 的 链接 文档 。 

Web 有 以 下 5 个 特点 。 

(1) Web 是 图 形 化 且 易 于 导航 的 (Navigate)。 

在 Web 之 前 ，Intermet 上 的 信息 只 具有 文本 形式 ， 而 Web 可 以 在 一 个 页 面 上 同时 显示 
色彩 丰富 的 图 形 和 文本 ， 将 图 形 、 音 频 、 视 频 信 息 集合 于 一 体 。 同 时 ，Web 是 非常 易于 导 
航 的 ， 只 需要 从 一 个 链接 跳 到 另 一 个 链接 ， 就 可 以 在 各 页 、 各 站 点 之 间 进 行 浏览 了 。 

(2) Web 与 平台 无 关 。 

Web 不 受 平台 的 限制 ， 无 论 是 什么 系统 平台 ， 比 如 Windows 平台 、UNIX 平台 ， 用 户 
都 可 以 使 用 浏览 器 对 WWW 进行 访问 。 

(3) Web 是 分 布 式 的 。 

大 量 的 图 形 、 音 频 和 视频 信息 会 占用 相当 大 的 磁盘 空间 ，Web 把 信息 放 在 不 同 的 站 点 
上 ， 在 物理 上 并 不 一 定 使 一 个 站 点 的 信息 在 逻辑 上 一 体 化 。 

(4) Web 是 动态 的 。 

信息 的 提供 者 会 对 Web 站 点 的 信息 (包含 站 点 本 身 的 信息 ) 及 时 进行 更 新 ， 以 确保 用 户 
对 站 点 的 持续 关注 ， 所 以 Web 站 点 上 的 信息 是 动态 的 。 

(5) Web 是 交互 的 。 

Web 的 交互 性 表现 在 它 的 超 链接 上 , 用 户 可 以 自主 地 决定 欲 浏览 的 站 点 及 浏览 的 顺序 。 
另外 , 通过 FORM 的 形式 可 以 从 服务 器 方 获得 动态 的 信息 ,用户 通过 填写 FORM 向 服务 器 
提交 请 求 ， 服 务 器 再 根据 用 户 的 请 求 返 回 相应 信息 。 


2. Web 结构 


WWW(World Wide Web) 是 由 大 量 的 Web 站 点 构成 的 ， 每 个 Web 站 点 又 包含 许多 的 
Web 页 面 。Web 页 面 与 普通 文档 不 同 ， 其 所 含 信息 包括 以 下 三 个 部 分 : 网 页 正文 、 网 页 所 
含 的 超 文本 标记 和 网 页 间 的 超 链接 。 从 广义 上 看 ，Web 结构 包括 : 网 页 内 部 内 容 用 HTML、 
XML 表示 成 的 树 型 结构 ， 文 档 URL 中 的 目录 路 径 结 构 ， 网 页 之 间 的 超 链接 结构 。 

网 页 分 导航 网 页 和 目的 网 页 两 种 。 导 航 网 页 是 指 到 达 目 的 网 页 的 途经 网 页 。 它 只 提供 
链接 作用 ， 其 网 页 内 容 不 是 用 户 所 需要 的 ， 用 户 会 经 常 往返 于 这 些 页 面 上 ， 但 不 会 在 上 面 
花费 大 量 时 间 。 因 此 导航 网 页 应 该 位 于 易于 用 户 寻找 到 目的 网 页 的 路 径 上 ， 而 且 是 最 短路 
径 上 ， 用 户 途经 的 导航 网 页 越 少 ， 到 达 目 的 网 页 的 时 间 就 越 短 。 目 的 网 页 是 用 户 真正 要 寻 
找 的 包括 信息 、 娱 乐 、 产 品 等 内 容 的 网 页 。 用 户 一 旦 找到 所 需 内 容 网 页 ， 就 会 花 许多 时 间 
驻 留 在 这 个 网 页 上 。 

网 站 结构 包括 物理 结构 和 逻辑 结构 。 网 站 物理 结构 是 指 网 站 真实 的 目录 及 文件 所 存储 
的 位 置 所 决定 的 结构 。 网 站 逻辑 结构 (或 称 链接 结构 )， 是 指 由 网 页 内 部 链接 所 形成 的 逻辑 的 
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或 链接 的 网 络 结构 。 


6.2.2 ”Web 安全 威胁 


1. Web 的 安全 威胁 


来 自 网 络 上 的 安全 威胁 与 攻击 多 种 多 样 ， 依 照 Web 访问 的 结构 ， 可 将 其 分 类 为 对 Web 
服务 器 的 安全 威胁 、 对 Web 客户 机 的 安全 威胁 和 对 通信 信道 的 安全 威胁 3 类 。 
1) ”对 Web 服务 器 的 安全 威胁 
对 于 Web 服务 器 、 服 务 器 的 操作 系统 、 数 据 库 服 务 器 都 有 可 能 存在 漏洞， 恶意 用 户 都 
有 可 能 利用 这 些 漏 洞 去 获得 重要 信息 。Web 服务 器 上 的 漏洞 可 以 从 以 下 几 方 面 考 虑 。 
(1) 在 Web 服务 器 上 的 机 密 文 件 或 重要 数据 (如 存放 用 户 名 、 口 令 的 文件 ) 放 置 在 不 安 
全 区 域 ， 被 入 侵 后 很 容易 得 到 。 
(2) 在 Web 数据 库 中 ， 保 存 的 有 价值 信息 (如 商业 机 密 数 据 、 用 户 信息 等 )， 如 果 数 据 
库 安 全 配置 不 当 ， 很 容易 泄密 。 
(3) Web 服务 器 本 身 存 在 一 些 漏洞 ， 能 被 黑客 用 于 侵入 系统 ， 破 坏 一 些 重要 的 数据 ， 
至 造成 系统 瘫痪 。 
(4) 程序 员 的 有 意 或 无 意 在 系统 中 遗漏 Bug 给 非法 黑客 创造 条 件 ， 如 用 CGI 脚本 编写 
的 程序 中 的 自身 漏洞 。 
2) 对 Web 客户 机 的 安全 威胁 
现在 网 页 中 的 活动 内 容 已 被 广泛 应 用 ， 活 动 内 容 的 不 安全 性 是 客户 端的 主要 威胁 。 网 
页 的 活动 内 容 是 指 在 静态 网 页 中 嵌入 的 对 用 户 透 明 的 程序 ， 它 可 以 完成 一 些 动作 ， 如 显示 
动态 图 像 ， 下 载 和 播放 音乐 、 视 频 等 。 当 用 户 使 用 浏览 器 查看 带 有 活动 内 容 的 网 页 时 ， 这 
些 应 用 程序 会 自动 下 载 并 在 客户 机 上 运行 ， 如 果 这 些 程序 被 恶意 使 用 ， 则 可 以 窃取 、 改 变 
或 删除 客户 机 上 的 信息 。 
针对 Web 客户 机 的 安全 威胁 ， 主 要 用 到 Java Applet 和 ActiveX 技术 。Java Applet 使 用 
Java 语言 开发 ， 随 页 面 下 载 ，Java 使 用 的 沙 盒 (Sandbox) 根 据 安 全 模式 所 定义 的 规则 来 限制 
Java Applet 的 活动 , 它 不 会 访问 系统 中 规定 安全 范围 之 外 的 程序 代码 。 但 事实 上 Java Applet 
存在 安全 漏洞 ， 可 能 被 利用 且 进 行 破坏 。 
ActiveX 是 微软 的 一 个 控件 技术 , 它 封 装 由 网 页 设计 者 放 在 网 页 中 来 执行 特定 任务 的 程 
序 ， 可 以 由 微软 支持 的 多 种 语言 开发 但 只 能 运行 在 Windows 平台 。ActiveX 在 安全 性 上 不 
如 Java Applet， 一旦 下 载 ， 能 像 其 他 程序 一 样 执行 ， 访 问 包括 操作 系统 代码 在 内 的 所 有 系 
统 资源 ， 这 是 非常 危险 的 。 
Cookie 是 Netscape 公司 开发 的 ， 用 来 改善 HTTP 的 无 状态 性 。 无 状态 的 表现 使 得 制造 
像 购 物 车 这 样 要 在 一 定时 间 内 记 住 用 户 动作 的 东西 很 难 。Cookie 实际 上 是 一 段 小 消息 ， 在 
浏览 器 第 一 次 连接 时 由 HTTP 服务 器 送 到 浏览 器 端 ， 以 后 浏览 器 每 次 连接 都 把 这 个 Cookie 
的 一 个 拷贝 返回 给 Web 服务 器 , 服务 器 用 这 个 Cookie 来 记忆 用 户 和 维护 一 个 跨 多 个 页 面 的 
过 程 影像 。Cookie 不 能 用 来 窃取 关于 用 户 或 用 户 计 算 机 系统 的 信息 ， 它 只 能 在 某 种 程度 上 
存储 用 户 的 信息 ,如 计算 机 名 字 、IP 地 址 、 浏 览 器 名 称 和 访问 的 网 页 的 URL 等 .所 以 ，Cookie 
是 相对 安全 的 。 
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3) ”对 通信 信道 的 安全 威胁 

JIntemet 是 连接 Web 客户 机 和 服务 器 通信 的 信道 ， 是 不 安全 的 。 像 Sniffer 这 样 的 嗅 探 
程序 ， 可 对 信道 进行 侦 听 ， 窃 取 机 密 信息 ， 存 在 着 对 保密 性 的 安全 威胁 。 未 经 授权 的 用 户 
可 以 改变 信道 中 的 信息 流传 输 内 容 ， 造 成 对 信息 完整 性 的 安全 威胁 。 此 外 ， 还 有 利用 拒绝 
服务 攻击 ， 向 网 站 服务 器 发 送 大 量 请 求 ， 造 成 主机 无 法 及 时 响应 而 瘫痪 ， 或 者 发 送 大 量 的 
卫 数据 包 来 阻塞 通信 信道 ， 使 网 络 的 速度 变 缓慢 。 


6.2.3 ”Web 安全 防护 
1. Web 的 安全 防护 技术 


1) ”Web 客户 端的 安全 防护 

Web 客户 端的 防护 措施 ， 重 点 是 对 Web 程序 组 件 的 安全 进行 防护 ， 严 格 限制 从 网 络 上 
任意 下 载 程序 并 在 本 地 执行 。 可 以 在 浏览 器 进行 设置 ， 如 Microsoft Internet Explorer 的 
Internet 选项 的 “高 级 ”选项 卡 中 将 Java 相关 选项 关闭 。 在 “安全 ”选项 卡 中 选择 自 定义 级 
别 ， 将 ActiveX 组 件 的 相关 选项 选 为 禁用 。 在 “隐私 ”选项 卡 中 根据 需要 选择 Cookie 的 级 
别 ， 也 可 以 根据 需要 将 C:\windows\cookie 下 的 所 有 Cookie 相关 文件 删除 。 

2) 通信 信道 的 安全 防护 

通信 信道 的 防护 措施 ， 可 在 安全 性 要 求 较 高 的 环境 中 ， 利 用 HTTPS 协议 替代 HITTP 协 
议 。 利 用 安全 套 接 层 协议 SSL 保证 安全 传输 文件 ，SSL 通过 在 客户 端 浏 览 器 软件 和 Web 服 
务 器 之 间 建 立 一 条 安全 通信 信道 , 实现 信息 在 Internet 中 传送 的 保密 性 和 完整 性 。 但 SSL 会 
造成 Web 服务 器 性 能 上 的 一 些 下 降 。 

3) ”Web 服务 器 端的 安全 防护 

限制 Web 服务 器 中 的 账户 数据 ,对 在 Web 服务 器 上 建立 的 账户 , 在 口令 长 度 及 定期 更 
改 方面 做 出 要 求 ， 防 止 被 盗用 ，Web 服务 器 本 身 会 存在 一 些 安全 上 的 漏洞 ， 需 要 及 时 进行 
版 本 升级 更 新 ; 尽量 使 E-mail、 数据库 等 服务 器 与 Web 服务 器 分 开 ， 去掉 无 关 的 网 络 服务 ; 
在 Web 服务 器 上 去 掉 一 些 不 用 的 如 SHELL 之 类 的 解释 器 ， 定 期 查看 服务 器 中 的 日 志文 件 ， 
分 析 一 切 可 颖 事件， 设置 好 Web 服务 器 上 系统 文件 的 权限 和 属性 ， 通 过 限制 许可 访问 用 户 
卫 或 DNSo， 从 CGI 编程 角度 考虑 安全 ， 采 用 编译 语言 比 解释 语言 会 更 安全 些 ， 并 且 CGI 
程序 应 放 在 独立 于 HTML 存放 目录 之 外 的 CGI-BIN 下 。 


2. Web 服务 器 安全 防护 策略 的 应 用 


这 里 以 目前 应 用 较 多 的 Windows 7 平台 和 IIS 的 Web 服务 器 为 例 ， 简 述 Web 服务 器 端 
安全 防护 的 策略 应 用 。 

1) ”系统 安装 的 安全 策略 

安装 Windows 系统 时 不 要 安装 多 余 的 服务 和 多 余 的 协议 ， 因 为 有 的 服务 存在 漏洞 ， 多 
余 的 协议 会 占用 资源 。 安 装 Windows 系统 后 一 定 要 及 时 安装 补丁 程序 (W2KSP4_CN.exe )， 
并 且 立 刻 安装 防 病毒 软件 。 

2) ”系统 安全 策略 的 配置 

通过 “本 地 安全 策略 ”限制 匿名 访问 本 机 用 户 ， 限 制 远程 用 户 对 光驱 或 软驱 的 访问 等 。 
通过 “组 策略 ”限制 远程 用 户 对 Net Meeting 的 桌面 共享 , 限制 用 户 执行 Windows 安装 任务 等 。 
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3) US 安全 策略 的 应 用 

在 配置 Internet 信息 服务 (IIS) 时 ,不 要 使 用 默认 的 Web 站 点 ,删除 默认 的 虚拟 目录 映射 
建立 新 站 点 ， 并 对 主 目录 权限 进行 设置 。 一 般 情况 下 设置 成 站 点 管理 员 和 Administrator， 这 
两 个 用 户 可 完全 控制 ， 其 他 用 户 只 可 以 读 取 文 件 。 

4) “审核 日 志 策略 的 配置 
当 Windows 系统 出 现 问题 的 时 候 ， 通 过 对 系统 日 志 的 分 析 ， 可 以 了 解 故障 发 生前 系统 
的 运行 情况 ， 作 为 判断 故障 原因 的 根据 。 

一 般 情况 下 需要 对 常用 的 用 户 登 录 日 志 、HTTP 和 FTP 日 志 进 行 配置 。 

(1) 设置 登录 审核 日 志 : 审核 事件 分 为 成 功 事件 和 失败 事件 。 成 功 事件 表示 一 个 用 户 
成 功 地 获得 了 访问 某 种 资源 的 权限 ， 而 失败 事件 则 表明 用 户 的 尝试 失败 。 

(2) 设置 HTTP 审核 日 志 : 通过 “Intemet 服务 管理 器 ”选择 Web 站 点 的 属性 ， 设 置 日 
志 的 属性 ， 也 可 根据 需要 修改 日 志 的 存放 位 置 。 

(3) 设置 FTP 审核 日 志 : 设置 方法 同 HTTP 的 设置 基本 一 样 。 选 择 FTP 站 点 ， 对 其 日 
志 属 性 进行 设置 ， 然 后 修改 日 志 的 存放 位 置 。 

5) ”网 页 发 布 和 下 载 的 安全 策略 
因为 Web 服务 器 上 的 网 页 ， 需 要 频繁 进行 修改 。 因 此 ， 要 制定 完善 的 维护 策略 ， 才 能 
保证 Web 服务 器 的 安全 。 有 些 管理 员 为 方便 起 见 ， 采 用 共享 目录 的 方法 进行 网 页 的 下 载 和 
发 布 ， 但 共享 目录 方法 很 不 安全 。 因 此 ， 在 Web 服务 器 上 要 取消 所 有 的 共享 目录 。 网 页 的 
更 新 采用 FTP 方法 进行 ， 选 择 对 该 FTP 站 点 的 访问 权限 有 “ 读 取 ”“ 写 入 ”这 两 种 权限 。 
对 FTP 站 点 属性 的 “目录 安全 性 ”， 在 “拒绝 访问 ”对 话 框 中 输入 管理 维护 工作 站 的 他 地 
址 ， 限 定 只 有 指定 的 计算 机 可 以 访问 该 FTP 站 点 ， 并 只 能 对 站 点 目录 进行 读 写 操作 。 


6.3 中 间 件 安全 


安全 问题 是 现代 信息 社会 中 不 可 回避 的 问题 ， 随 着 计算 机 技术 的 广泛 应 用 ， 这 一 问题 
显得 更 加 人 迫切。 目前 安全 领域 的 投入 大 、 成 本 高 、 操 作 能 力 弱 等 问题 逐步 显现 ， 使 得 中 间 
件 安全 技术 应 运 而 生 。 它 的 设计 思想 是 将 信息 安全 技术 和 中 间 件 安全 技术 结合 起 来 ， 把 安 
全 模块 从 整个 应 用 系统 中 分 离 出 来 ， 这 样 既 可 以 提高 软件 的 可 重用 性 ， 又 可 以 降低 软件 开 
发 的 难度 。 安 全 中 间 件 项 目 旨 在 分 析 各 种 应 用 系统 ， 构 造 具有 普遍 适应 性 的 安全 中 间 件 的 
架构 ， 设 计 和 实现 适应 信息 系统 的 安全 中 间 件 ， 以 保证 系统 的 可 信 度 和 安全 性 。 


6.3.1 中 间 件 
1. 中 间 件 的 基本 概念 


中 间 件 即 软件 中 间 件 (Middle Ware)， 是 一 类 连接 软件 组 件 和 应 用 的 计算 机 软件 ， 它 包 
括 一 组 服务 ， 以 便于 运行 在 一 台 或 多 台 机 器 上 的 多 个 软件 通过 网 络 进行 交互 。 该 技术 所 提 
供 的 互 操作 性 ， 推 动 了 一 致 分 布 式 体系 架构 的 演进 ， 该 架构 通常 用 于 支持 并 简化 那些 复杂 
的 分 布 式 应 用 程序 ， 它 包括 Web 服务 器 、 事 务 监控 器 和 消息 队列 软件 。 

中 间 件 是 基础 软件 的 一 大 类 ， 属 于 可 复 用 软件 的 范畴 。 顾 名 思 义 ， 中 间 件 处 于 操作 系 
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统 软件 与 用 户 的 应 用 软件 的 中 间 。 

中 间 件 在 操作 系统 、 网 络 和 数据 库 之 上 ， 应 用 软件 的 下 层 ， 总 的 作用 是 为 自己 上 层 的 
应 用 软件 提供 运行 与 开发 的 环境 ， 帮 助 用 户 灵活 、 高 效 地 开发 和 集成 复杂 的 应 用 软件 。 在 
众多 关于 中 间 件 的 定义 中 ， 被 普遍 接受 的 是 IDC 表述 的 : 中 间 件 是 一 种 独立 的 系统 软件 或 
服务 程序 ， 分 布 式 应 用 软件 借助 这 种 软件 在 不 同 的 技术 之 间 共 享 资源 ， 中 间 件 位 于 客户 机 
服务 器 的 操作 系统 之 上 ， 管 理 计算 资源 和 网 络 通信 。 

IDC 对 中 间 件 的 定义 表明 ， 中 间 件 是 一 类 软件 ， 而 非 一 种 软件 ， 中间 件 不 仅仅 实现 互 
联 ， 还 要 实现 应 用 之 间 的 互 操 作 ， 中 间 件 是 基于 分 布 式 处 理 的 软件 ， 最 突出 的 特点 是 其 网 
络 通信 功能 。 

2. 中 间 件 的 优 缺 点 及 分 类 


1) “优点 

(1) 满足 大 量 应 用 的 需要 。 

(2) 运行 于 多 种 硬件 和 OS 平台 上 。 

(3) 支持 分 布 式 计算 , 提供 跨 网 络 、 硬 件 和 OS 平台 的 透明 性 的 应 用 或 服务 的 交互 功能 。 

(4) 支持 标准 的 协议 。 

(5) 支持 标准 的 接口 。 

2) ”缺点 

中 间 件 能 够 屏蔽 操作 系统 和 网 络 协议 的 差异 ， 为 应 用 程序 提供 多 种 通信 机 制 ， 并 提供 
相应 的 平台 以 满足 不 同 领域 的 需要 。 因 此 ， 中 间 件 为 应 用 程序 提供 了 一 个 相对 稳定 的 高 层 
应 用 环境 。 然 而 ， 中 间 件 服务 也 并 非 “万 能 药 ”。 中 间 件 所 应 遵循 的 一 些 原则 离 实际 还 有 
很 大 距离 。 多 数 流行 的 中 间 件 服务 使 用 专 有 的 API 和 专 有 的 协议 ， 使 得 应 用 建立 于 单一 厂 
家 的 产品 ， 来 自 不 同 厂家 的 实现 很 难 互 操作 。 有 些 中 间 件 服务 只 提供 一 些 平台 的 实现 ， 从 
而 限制 了 应 用 在 异 构 系 统 之 间 的 移植 。 应 用 开发 者 在 这 些 中 间 件 服务 之 上 建立 自己 的 应 用 
还 要 承担 相当 大 的 风险 ， 随 着 技术 的 发 展 ， 他 们 往往 还 需 重 写 他 们 的 系统 。 尽 管 中 间 件 服 
务 提高 了 分 布 计算 的 抽象 化 程度 ， 但 应 用 开发 者 还 需 面 临 许多 艰难 的 设计 选择 ， 例 如 ， 开 
发 者 还 需 决定 分 布 应 用 在 客户 机 方 和 服务 器 方 的 功能 分 配 。 通 常 将 表示 服务 放 在 客户 机 以 
方便 使 用 显示 设备 ， 将 数据 服务 放 在 服务 器 以 靠近 数据 库 ， 但 也 并 非 总 是 如 此 ， 何 况 其 他 
应 用 功能 如 何 分 配 也 是 不 容易 确定 的 。 

3) 分 类 

中 间 件 大 致 可 分 为 6 类 ， 即 终端 仿真 /屏幕 转换 中 间 件 、 数 据 访 问 中 间 件 、 远 程 过 程 调 
用 中 间 件 、 消 息 中 间 件 、 交 易 中 间 件 、 对 象 中 间 件 。 

4) ”发 展 趋势 

中 间 件 技术 的 发 展 方向 ， 将 聚焦 于 消除 信息 孤岛 ， 推 动 无 边界 信息 流 ， 支 撑 开 放 、 动 
态 、 多 变 的 互联 网 环境 中 的 复杂 应 用 系统 , 实现 对 分 布 于 互联 网 之 上 的 各 种 自治 信息 资源 ( 计 
算 资 源 、 数 据 资源 、 服 务 资源 、 软 件 资源 ) 的 简单 、 标 准 、 快 速 、 灵 活 、 可 信 、 高 效能 及 低 
成 本 的 集成 、 协 同和 综合 利用 ,提高 组 织 的 IT 基础 设施 的 业务 敏捷 性 ,降低 总 体 运 维 成 本 ， 
促进 IT 与 业务 之 间 的 匹配 。 中 间 件 技术 正在 呈现 出 业务 化 、 服 务 化 、 一 体 化 、 虚 拟 化 等 诸 
多 新 的 重要 发 展 趋势 。 
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6.3.2 ” 物 联网 中 间 件 


物 联 网 中 的 中 间 件 处 于 物 联网 的 集成 服务 器 端 和 感知 层 、 传 输 层 的 嵌入 式 设备 中 。 服 
务 器 端 中 间 件 称 为 物 联网 业务 基础 中 间 件 ， 一 般 是 基于 传统 的 中 间 件 来 构建 的 。 典 入 式 中 
间 件 是 支持 不 同 通信 协议 的 模块 和 运行 环境 。 中 间 件 的 特点 是 它 固化 了 很 多 通用 功能 ， 但 
在 具体 应 用 中 多 半 需 要 二 次 开发 来 实现 个 性 化 的 业务 需求 ， 因 此 所 有 物 联网 中 间 件 都 需要 
提供 快速 开发 工具 。 

在 RFID 中 ， 物 联网 中 间 件 具有 以 下 特点 。 

(1) 应 用 构架 独立 。 物 联网 中 间 件 介 于 RFID 读 写 器 与 后 端 应 用 程序 之 间 又 独立 于 它们 
之 外 ， 它 能 够 与 多 个 RFID 读 写 器 、 多 个 后 端 应 用 程序 之 间 进 行 连接 ， 以 减轻 构架 与 维护 的 
复杂 性 。 

(2) 分 布 数据 存储 -RFID 最 主要 的 目的 在 于 将 实体 对 象 转换 为 消息 环境 下 的 虚幻 对 象 ， 
因此 数据 存储 与 处 理 是 RFID 最 重要 的 功能 。 物 联网 中 间 件 具有 数据 的 搜索 、 过 滤 、 整 合 与 
传递 等 特性 ， 以 便 将 正确 的 对 象 消息 传 到 后 端的 应 用 系统 中 。 

(3) 数据 加 工 处 理 。 物 联网 中 间 件 通常 采用 程序 逻辑 及 存储 转发 的 功能 来 提供 顺序 的 
信息 ， 具 有 数据 设计 和 管理 的 能 


6.3.3 RFID 中 间 件 安全 


1. RFID 中 间 件 安全 研究 


目前 ，RFID 安全 问题 主要 集中 在 对 个 人 用 户 信息 的 隐私 保护 、 对 企业 用 户 的 商业 秘密 
保护 、 防 范 对 RFID 系统 的 攻击 ， 以 及 利用 RFID 技术 进行 安全 防范 等 方面 。 

总 结 现 有 的 RFID 安全 隐私 技术 , 可 以 分 为 两 大 类 : 一 类 是 用 物理 的 方法 阻止 标签 和 阅 
读 器 的 通信 , 适用 于 低 成 本 的 RFID 标签 , 其 主要 方法 有 杀 死 标签 、 法拉第 网 单 、 主 动 干扰 、 
阻止 标签 等 方法 ,这 类 方法 在 安全 机 制 上 存在 着 种 种 缺陷 。 另 一 类 是 采用 密码 技术 实现 RFID 
安全 性 机 制 ， 并 且 这 种 基于 软件 的 方法 越 来 越 受 到 研究 者 及 开发 者 的 青睐 ， 例 如 使 用 各 种 
成 熟 的 密码 方案 和 机 制 来 设计 实现 符合 RFID 安全 需求 的 加 密 协议 。 

2. RFID 中 间 件 安全 存在 的 问题 


随 着 RFID 在 各 个 领域 的 广泛 应 用 , 安全 问题 特别 是 用 户 隐私 问题 变 得 日 益 严重 , 使 得 
RFID 的 应 用 不 能 普及 重要 的 领域 中 ， 如 果 政府 机 关 或 者 银行 信息 被 窃取 或 恶意 更 改 ， 将 会 
造成 不 可 估量 的 损失 。 特 别 是 对 于 那些 没有 安全 保护 机 制 的 标签 ， 很 容易 被 跟踪 、 泄 露 敏 
感 信息 。 企 业 和 供应 商都 意识 到 了 安全 问题 ， 但 并 没有 把 解决 安全 问题 作为 首要 任务 ， 而 
是 仍然 把 注意 力 集中 到 RFC 的 实施 效果 和 所 带 来 的 经 济 上 的 收益 。 如 果 不 遏 制 其 潜在 的 破 
坏 能力 , 未 来 遍布 全 球 各 地 的 RFID 系统 安全 问题 可 能 会 像 现在 的 网 络 安全 问题 一 样 成 为 考 
验 人 们 智慧 的 难题 。 传 统 的 RFID 安全 问题 包括 复制 、 重 放 、 假 冒 RFID 标签 、 其 骗 、 恶 意 
阻塞 、 隐 私 泄露 等 ， 归 纳 起 来 可 以 分 为 3 个 方面 的 安全 隐患 。 

1) 数据 传输 

RFID 数据 在 经 过 网 络 层 传播 时 , 非法 入 侵 者 很 容易 对 标签 信息 进行 自 改 、 截获 和 破解 、 
重 放 攻击 、 数 据 演绎 ( 即 攻击 者 获得 某 一 个 标签 数据 后 演绎 推测 出 其 他 标签 上 的 数据 )， 以 及 
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DoS 攻击 ， 当 大 量 无 用 的 标签 数据 发 送 到 阅读 器 时 ， 如 果 对 这 些 数据 的 处 理 能 力 超出 了 读 
写 器 的 读 写 能 力 范 围 ， 将 导致 中 间 件 无 法 正常 接收 标签 数据 ， 造 成 有 用 数据 的 丢失 。 任 何 
应 用 系统 都 是 基于 操作 系统 之 上 ，RFID 应 用 也 不 例外 ， 一旦 操作 系统 被 非法 入 侵 ， 不 法 分 
子 就 有 可 能 获得 部 分 或 者 全 部 的 非法 访问 权限 ， 这 时 RFID 系统 将 变 得 非常 不 安全 了 。 

2) ”身份 认证 

非法 用 户 使 用 中 间 件 窃取 保密 数据 和 商业 机 密 ， 对 企业 和 个 人 将 造成 极 大 的 危害 。 当 
大 量 伪造 的 标签 数据 发 往 阅 读 器 时 ， 阅 读 器 消耗 大 量 的 能 量 ， 处 理 的 却 是 虚假 的 数据 ， 而 
真实 的 数据 被 隐藏 、 不 被 处 理 ， 严 重 的 可 能 会 引起 拒绝 服务 式 攻 击 。 另 外 ， 基 于 Internet 的 
数据 交换 ， 除 了 系统 内 部 的 数据 处 理 和 交换 安全 域 中 所 存在 的 问题 外 ， 不 同 企业 和 系统 进 
行 数据 交换 时 都 必须 进行 相互 的 身份 认证 ， 身 份 的 伪造 必然 也 是 一 个 重要 的 安全 问题 。 

3) ”授权 管理 

不 同 的 用 户 只 能 访问 已 被 授权 的 资源 , 当 用 户 试 图 访问 未 授权 的 受 保护 的 RFID 中 间 件 
服务 时 ， 必 须 对 其 进行 安全 访问 控制 ， 限 制 其 行为 在 合法 的 范围 之 内 。 如 果 一 个 普通 用 户 ， 
拥有 管理 员 的 权限 ， 那 么 整个 系统 将 无 可 信之 言 。 另 外 ， 不 同行 业 的 用 户 有 不 同 的 需求 ， 
授予 其 额外 的 权限 ， 势 必 造 成 资源 的 浪费 。 因 此 在 一 个 开放 的 网 络 环境 中 ， 要 确保 没有 授 
权 的 用 户 、 实 体 或 进程 无 法 窃取 信息 。 这 同时 也 产生 了 许多 安全 上 的 难题 ， 比 如 当 标 签 随 
物品 在 不 同 企业 之 间 流 动 时 ， 要 确保 只 有 拥有 该 物品 的 所 有 者 具有 访问 标签 的 权利 ， 这 就 
要 求 标签 的 访问 权限 也 能 够 转移 。 














式 是 基于 无 线 方式 ， 这 种 方式 本 身 就 存在 隐患 ， 其次， 标签 本 身 的 成 本 限制 了 其 计算 能 力 
和 可 编程 能 力 ， 决 定 了 它 不 可 使 用 太 复 杂 的 协议 和 密码 运算 。RFID 中 间 件 的 物理 连接 结构 
如 图 6-1 所 示 。RFID 中 间 件 与 RFID 阅读 器 的 连接 、RFID 中 间 件 与 ONS 服务 器 的 连接 ， 
以 及 RFID 阅读 器 与 企业 应 用 系统 的 连接 ， 一 般 采用 有 线 连接 ， 这 样 RFID 数据 在 经 过 有 线 
网 络 层 传播 时 ， 非 法 入 侵 者 很 容易 对 标签 信息 进行 自 改 、 截 获 和 破解 。 如 果 对 这 些 数据 的 
处 理 能 力 超 出 了 RFID 读 写 器 的 读 写 能 力 范围 ,将 导致 RFID 中 间 件 无 法 正常 连接 标签 数据 ， 
造成 有 用 数据 的 丢失 。 
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图 6-1 RFID 中 间 件 的 物理 连接 结构 
6.4 数据 安全 
数据 安全 有 对 立 的 两 方面 的 含义 : 一 是 数据 本 身 的 安全 ， 主 要 是 指 采 用 现代 密码 算法 
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对 数据 进行 主动 保护 ， 如 数据 保密 、 数 据 完整 性 、 双 向 强身 份 认证 等 ， 二 是 数据 防护 的 安 
全 ， 主 要 是 采用 现代 信息 存储 手段 对 数据 进行 主动 防护 ， 如 通过 磁盘 阵列 、 数 据 备 份 、 异 
地 容 灾 等 手段 保证 数据 的 安全 。 数 据 安全 是 一 种 主动 的 保护 措施 ， 数 据 本 身 的 安全 必须 基 
于 可 靠 的 加 密 算法 与 安全 体系 ， 主 要 有 对 称 算法 与 公开 密 钥 密码 体系 两 种 。 

数据 处 理 的 安全 是 指 如 何 有 效 地 防止 数据 在 录入 、 处 理 、 统 计 或 打印 中 由 于 硬件 故障 、 
断 电 、 死 机 、 人 为 的 误 操作 、 程 序 缺 陷 、 病 毒 或 黑客 等 造成 的 数据 库 损 坏 或 数据 丢失 现象 ， 
某 些 敏感 或 保密 的 数据 可 能 被 不 具备 资格 的 人 员 或 操作 员 阅 读 ， 而 造成 数据 泄密 等 后 果 。 

而 数据 存储 的 安全 是 指数 据 库 在 系统 运行 之 外 的 可 读 性 ， 一 个 标准 的 Access 数据 库 ， 
稍微 懂得 一 些 基 本 方法 的 计算 机 人 员 ， 都 可 以 打开 阅读 或 修改 。 一 旦 数据 库 被 盗 ， 即 使 没 
有 原来 的 系统 程序 ， 照 样 可 以 另外 编写 程序 对 盗 取 的 数据 库 进行 查看 或 修改 。 从 这 个 角度 
说 ， 不 加 密 的 数据 库 是 不 安全 的 ， 容 易 造 成 商业 泄密 ， 所 以 便 衍 生出 数据 防 泄密 这 一 概念 ， 
这 就 涉及 了 计算 机 网 络 通信 的 保密 、 安 全 及 软件 保护 等 问题 。 


6.4.1 数据 安全 定义 


数据 安全 目标 主要 包括 3 个 : 机 密 性 、 完 整 性 和 可 用 性 。 这 3 个 基本 目标 在 不 同 的 领 
域 有 不 同 的 要 求 。 对 于 军事 领域 来 说 ， 机 密 性 和 可 用 性 的 要 求 明显 要 高 于 其 他 领域 。 而 对 
于 完整 性 而 言 ， 各 个 领域 都 有 相当 高 的 要 求 。 


1. 机 密 性 


机 密 性 又 称 数据 的 保密 性 ， 保 密 性 是 指 信息 不 泄露 给 非 授权 的 用 户 、 实 体 、 过 程 或 供 
其 利用 的 特性 。 数 据 保 密 性 就 是 保证 具有 授权 的 用 户 可 以 访问 数据 ， 而 限制 其 他 人 对 数据 
的 访问 。 数 据 保密 性 分 为 网 络 传输 保密 性 、 数 据 存储 保密 性 以 及 数据 处 理 过 程 中 的 保密 性 。 


2. 完整 性 


数据 完整 性 是 指 在 传输 、 存 储 信息 或 数据 的 过 程 中 ， 确 保 信息 或 数据 不 被 未 授权 的 用 
户 算 改 或 在 算 改 后 能 够 被 迅速 发 现 。 在 信息 安全 领域 中 ， 完 整 性 常常 和 保密 性 边界 混淆 。 
完整 性 是 指数 据 未 经 授权 不 能 进行 改变 的 特性 ， 即 信息 在 存储 或 传输 过 程 中 保持 不 被 修改 、 
不 被 破坏 和 丢失 的 特性 。 数 据 完整 性 的 目的 就 是 保证 计算 机 系统 上 的 数据 和 信息 处 于 一 种 
完整 和 未 受 损害 的 状态 ， 这 就 是 说 ， 数 据 不 会 因 有 意 或 无 意 的 事件 而 被 改变 或 丢失 。 数 据 
完整 性 的 丢失 直接 影响 到 数据 的 可 用 性 。 


3. 可 用 性 


可 用 性 是 指 被 授权 实体 访问 并 按 需 求 使 用 的 特性 ， 即 当 需 要 时 能 否 存 取 和 访问 所 需 的 
信息 ， 是 用 户 访 问 数据 的 期 望 使 用 能 力 。 安 全 的 信息 系统 一 定 要 保证 合法 用 户 在 需要 使 用 
数据 时 无 延 时 。 数 据 可 用 性 是 可 靠 性 的 一 个 重要 因素 ， 因 为 一 个 无 法 保证 可 用 的 信息 系统 
对 用 户 来 说 还 不 如 没有 这 样 的 系统 。 因 此 ， 可 用 性 是 与 安全 息息相关 的 ， 因 为 攻击 者 会 故 
意 地 使 用 户 系统 的 数据 或 者 服务 无 法 正常 使 用 ， 甚 至 会 拒绝 授权 用 户 对 数据 或 者 服务 进行 
正常 的 访问 ， 例 如 大 家 熟知 的 拒绝 服务 攻击 。 
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6.4.2 ”数据 安全 保护 
保证 数据 安全 性 的 基本 方法 一 般 分 为 以 下 两 大 类 。 
1. 预防 


预防 (Prevention) 又 称 阻止 ， 它 试图 通过 阻止 所 有 未 经 授权 的 改写 数据 的 企图 来 预防 入 
侵 的 出 现 ， 从 而 保证 数据 安全 外 泄 不 会 发 生 。 一 般 情况 是 在 信息 系统 允许 任何 动作 发 生 之 
前 , 检查 该 动作 是 否 符合 安全 策略 的 规定 。 访 问 控制 (Access ControD) 技 术 是 服务 器 以 及 数据 
库 中 最 主要 的 预防 措施 之 一 。 访 问 控制 一 般 有 自主 访问 控制 、 基 于 角色 的 访问 控制 和 强制 
访问 控制 3 种 类 型 。 总 体 来 说 ， 任 何 的 访问 控制 机 制 一 般 是 通过 试图 阻止 用 户 的 非 授权 访 
问 来 保证 数据 的 保密 性 和 完整 性 ， 所 以 仅仅 使 用 预防 一 种 机 制 来 应 对 恶意 入 侵 显 得 比较 单 
一 ， 不 能 达到 保证 数据 安全 的 效果 。 

2. 检测 


检测 (Detection) 可 以 保证 信息 系统 活动 有 足够 的 历史 活动 记录 。 当 数据 泄露 事件 发 生 
时 ， 可 以 通过 它 进行 检测 和 取证 。 检 测 机 制 并 不 阻止 数据 保密 性 和 完整 性 的 破坏 ， 它 仅仅 
告知 数据 的 完整 性 不 再 可 信 。 检测 机 制 试图 通过 对 系统 事件 (用 户 或 者 系统 的 行为 ) 的 分 析 来 
检测 出 问题 ， 或 者 通过 数据 本 身 的 分 析 来 查看 信息 系统 要 求 的 约束 条 件 是 否 依然 满足 。 检 
测 机 制 能 够 报告 数据 的 完整 性 被 破坏 的 实际 原因 (如 某 个 文件 的 哪些 部 分 被 修改 ), 或 者 仅仅 
报告 文件 现在 已 经 损坏 ， 这 个 技术 就 是 我 们 所 说 的 系统 审计 和 入 侵 检测 系统 。 检 测 机 制 一 
般 是 基于 攻击 总 会 发 生 这 种 理念 ， 检 测 的 目的 就 是 要 判断 攻击 是 在 进行 中 还 是 已 经 发 生 过 
了 ， 并 及 时 做 出 报告 。 尽 管 攻击 有 可 能 没 办 法 阻止 ， 但 攻击 这 种 行为 可 以 被 监视 ， 以 记录 
有 关 攻 击 的 性 质 、 严 重 性 和 攻击 结果 的 数据 信息 。 例 如 ， 当 用 户 输入 错误 的 口令 3 次 后 ， 
系统 就 发 出 警告 ， 登 录 程 序 仍然 可 以 继续 ， 但 是 系统 日 志 中 将 有 一 条 报错 信息 报告 这 次 异 
常 的 多 次 敲 错 口令 试图 登录 事件 。 检 测 机 制 不 能 阻止 对 系统 的 攻击 ， 这 是 一 个 比较 严重 的 
缺陷 ， 但 它 不 会 阻碍 数据 的 可 用 性 。 

事实 上 ， 上 面 两 种 方法 的 定义 界限 并 不 太 显著 。 例 如 ， 在 有 的 信息 系统 中 ， 通 过 对 审 
计 日 志 的 实时 监控 ， 可 能 会 发 现 某 些 不 恰当 的 行为 违背 数据 安全 性 目标 ， 一 旦 发 现 这 种 行 
为 就 可 以 及 时 地 阻止 它们 ， 这 样 的 系统 很 明显 是 “阻止 ”系统 ， 但 它 采 用 的 是 “检测 ” 技 
术 。“ 阻 止 ”技术 相对 来 说 更 基础 一 些 ， 因 为 一 种 有 效 的 “检测 ”机 制 要 确保 审计 记录 不 
被 不 恰当 的 算 改 ， 并 且 “ 检 测 ” 机 制 要 有 效 ， 必 须 确保 一 旦 发 现 不 合法 的 行为 必须 采取 相 
应 的 惩罚 措施 ， 这 样 的 机 制 才 会 有 足够 的 威慑 力 。 

有 时 阻止 或 检测 某 种 系统 安全 性 泄露 的 代价 会 更 高 ， 或 者 说 这 种 泄露 事件 发 生 的 概率 
比较 小 ， 或 者 对 用 户 来 说 该 种 安全 机 制 是 能 够 接受 的 。 因 此 ， 系 统 可 以 允许 这 种 漏洞 的 存 
在 一 般 称 之 为 耐 受 性 (Tolerance)， 即 对 于 某 些 潜在 的 安全 性 泄露 是 能 够 忍受 的 。 普 通 的 信息 
系统 一 般 有 一 些 安全 性 泄露 事件 的 潜在 危险 ， 所 以 ， 重 要 的 是 要 清楚 地 掌握 “忍受 ”它们 
的 风险 性 ， 以 及 确定 哪些 需要 用 “检测 ”或 “阻止 ”机 制 来 保证 。 

无 论 是 阻止 还 是 检测 的 安全 性 机 制 ， 都 不 能 保证 数据 的 绝对 安全 性 。 通 常安 全 性 级 别 
越 低 ， 保 证 机 制 越 容易 实现 ， 但 这 种 系统 遭 到 破坏 的 可 能 性 也 越 大 。 而 安全 性 级 别 越 高 ， 
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其 保证 机 制 实现 起 来 越 难 ， 并 且 还 容易 导致 信息 系统 的 性 能 大 幅度 下 降 。 因 此 ， 需 要 依据 
系统 的 安全 目标 、 安 全 性 的 重要 程度 以 及 性 能 的 重要 程度 的 对 比 等 要 素 进行 权衡 。 目 前 硬 
件 的 速度 越 来 越 快 ， 也 为 高 安全 性 保证 机 制 的 实现 提供 了 一 定 的 基础 。 


6.4.3 数据库 安 全 
1. 数据 库 安全 的 定义 


关于 数据 库 安全 的 定义 ， 国 内 外 有 不 同 的 定义 。 国 外 以 C. P. Pfleeger 在 “Security 
inComputing Database Security PTR，1997” 中 对 数据 库 安全 的 定义 最 具有 代表 性 ， 被 国外 
许多 教材 、 论 文 和 培训 所 广泛 应 用 。 他 从 以 下 几 方 面 对 数据 库 安全 进行 了 描述 。 

(1) 物理 数据 库 的 完整 性 ， 数据 库 中 的 数据 不 被 各 种 自然 的 或 物理 的 问题 而 破坏 ， 如 
电力 问题 或 设备 故障 等 。 

(2) 逻辑 数据 库 的 完整 性 ， 对 数据 库 结 构 的 保护 ， 如 对 其 中 一 个 字段 的 修改 不 应 该 破 
坏 其 他 字段 。 

(3) 元 素 安全 性 : 存储 在 数据 库 中 的 每 个 元 素 都 是 正确 的 。 

(4) 可 审计 性 : 可 以 追踪 、 存 取 和 修改 数据 库 元 素 的 用 户 。 

(5) 访问 控制 : 确保 只 有 授权 的 用 户 才能 访问 数据 库 ， 这 样 不 同 的 用 户 被 限制 了 不 同 
的 访问 权限 。 

(6) 身份 验证 : 不 管 是 审计 追踪 还 是 对 某 一 数据 库 的 访问 ， 都 要 经 过 严格 的 身份 验证 。 

(7) 可 用 性 : 对 授权 的 用 户 应 该 随时 可 进行 应 有 的 数据 库 访 问 。 


2. 数据 库 安 全 常用 技术 


数据 库 安 全 通常 通过 存 取 管 理 、 安 全 管理 和 数据 库 加 密 来 实现 。 存 取 管 理 就 是 一 套 防 
止 未 授权 用 户 使 用 和 访问 数据 库 的 方法 、 机 制 和 过 程 ， 通 过 正在 运行 的 程序 来 控制 数据 的 
存 取 和 防止 非 授权 用 户 对 共享 数据 库 的 访问 。 安 全 管理 指 采 取 何 种 安全 管理 机 制 实现 数据 
库 管理 权限 分 配 ， 一 般 分 为 集中 控制 和 分 散 控制 两 种 方式 。 数 据 库 加 密 主要 包括 : 库 内 加 
密 (以 一 条 记录 或 记录 的 一 个 属性 值 作为 文件 进行 加 密 )、 库 外 加 密 (整个 数据 库 包 括 数据 库 
结构 和 内 容 作为 文件 进行 加 密 )、 硬 件 加 密 三 大 方面 。 

虽然 数据 库 安全 模型 和 安全 体系 结构 以 及 数据 库 安全 机 制 对 于 数据 库 安全 来 说 也 非常 
重要 ， 但 是 其 研究 和 应 用 进展 缓慢 。 迄 今 为 止 ， 在 数据 库 安全 模型 上 已 做 了 很 多 工作 ,但 
仍然 有 许多 难题 ， 安 全 体系 结构 方面 的 研究 工作 还 刚刚 开始 ， 安 全 机 制 上 仍 保持 着 传统 的 
机 制 ，20 世纪 90 年 代 以 来 , 数据 库 安全 的 主要 工作 围绕 着 关系 数据 库 系 统 的 存 取 管 理 技术 
的 研究 展开 。 

(1) 用 户 认 证 技术 。 电 子 商务 和 网 上 银行 的 发 展 使 人 们 感觉 到 在 数据 库 中 的 数据 是 有 
价值 的 ， 同 时 也 感觉 到 数据 库 系 统 可 能 是 脆弱 的 ， 用 户 需 要 特别 的 认证 。 通 过 用 户 身份 验 
证 ， 可 以 阻止 非 授权 用 户 的 访问 ， 而 通过 用 户 身份 识别 ， 可 以 防止 用 户 的 越权 访问 。 

(2) 安全 管理 技术 。 安 全 管理 指 采取 何 种 安全 管理 机 制 实现 数据 库 管理 权限 分 配 ， 安 
全 管理 分 集中 控制 和 分 散 控制 两 种 方式 。 集 中 控制 由 单个 授权 者 来 控制 系统 的 整个 安全 维 
护 ， 分 散 控制 则 采用 可 用 的 管理 程序 控制 数据 库 的 不 同 部 分 来 实现 系统 的 安全 维护 。 集 中 
控制 的 安全 管理 可 以 更 有 效 、 更 方便 地 实现 安全 管理 。 安 全 管理 机 制 可 采用 数据 库 管理 员 、 
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数据 库 安全 员 、 数 据 库 审 计 员 各 负 其 责 ， 相 互 制约 的 方式 ， 通 过 自主 存 取 控制 、 强 制 存 取 
控制 来 实现 数据 库 的 安全 管理 。 数 据 管理 员 必须 专门 负责 每 个 特定 数据 的 存 取 ，DBMS 必 
须 强制 执行 这 条 原则 ， 应 避免 多 人 或 多 个 程序 来 建立 新 用 户 ， 应 确保 每 个 用 户 或 程序 有 唯 
一 的 注册 账户 来 使 用 数据 库 。 安 全 管理 员 能 从 单一 地 点 部 署 强 大 的 控制 、 符 合 特定 标准 的 
评估 ， 以 及 大 量 的 用 户 账号 、 口 令 安 全 管理 任务 。 数 据 库 审计 员 根据 日 志 审计 跟踪 用 户 的 
行为 和 导致 数据 的 变化 ， 监 视 数据 访问 和 用 户 行为 是 最 基本 的 管理 手段 ， 如 果 数 据 库 服务 
出 现 问题 ， 可 以 进行 审计 追查 。 

(3) 数据 库 加 密 技术 。 一 般 而 言 ， 数 据 库 系统 提供 的 安全 控制 措施 能 满足 一 般 的 数据 
库 应 用 ， 但 对 于 一 些 重 要 部 门 或 敏感 领域 的 应 用 ， 仅 有 这 些 是 难以 完全 保证 数据 的 安全 性 
的 。 因 此 有 必要 在 存 取 管 理 、 安 全 管理 之 上 对 数据 库 中 存储 的 重要 数据 进行 加 密 处 理 ， 以 
强化 数据 存储 的 安全 保护 。 

数据 加 密 是 防止 数据 库 中 数据 泄露 的 有 效 手段 ， 与 传统 的 通信 或 网 络 加 密 技术 相 比 ， 
由 于 数据 保存 的 时 间 要 长 得 多 ， 对 加 密 强 度 的 要 求 也 更 高 。 而 且 ， 由 于 数据 库 中 数据 是 多 
用 户 共 享 ， 对 加 密 和 解密 的 时 间 要 求 也 更 高 ， 以 不 会 明显 降低 系统 性 能 为 要 求 。 


6.4.4 ”虚拟 化 数据 安全 


随 着 互联 网 发 展 和 云 计算 概念 的 提出 ， 虚 拟 化 普及 的 速度 迅速 提高 。 建 设 利用 虚拟 化 
技术 提供 服务 的 虚拟 化 数据 中 心 也 成 为 IT 企业 新 的 发 展 方向 。 虚 拟 化 数据 中 心 相 对 传统 的 
数据 中 心 在 安全 方面 提出 了 新 的 挑战 。 

1. 虚拟 化 及 其 特点 

虚拟 化 的 含义 非常 广泛 ， 一 种 比较 通俗 的 定义 就 是 : 虚拟 化 就 是 淡化 用 户 对 于 物理 计 
算 资 源 ， 如 处 理 器 、 内 存 、1/O 设备 的 直接 访问 ， 取 而 代 之 的 是 用 户 访问 逻辑 的 资源 ， 而 后 
台 的 物理 连接 则 由 虚拟 化 技术 来 实现 和 管理 。 这 个 定义 形象 地 说 明了 虚拟 化 的 基本 作用 ， 
其 实 就 是 要 屏蔽 掉 传 统 方式 下 用 户 部 署 应 用 时 需要 考虑 的 物理 硬件 资源 属性 ， 而 是 更 着 重 
于 应 用 真正 使 用 到 的 逻辑 资源 。 虚 拟 化 是 分 区 组 合 ， 因 此 在 一 个 物理 平台 上 多 个 虚拟 机 可 
以 同时 运行 ， 每 个 虚拟 机 之 间 互 不 影响 。 虚 拟 化 的 主要 特点 如 下 。 

(1) 封闭 。 虚 拟 单元 的 所 有 环境 被 存放 在 一 个 单独 的 文件 中 ， 为 应 用 展现 的 是 标准 化 
的 虚拟 硬件 ， 保 证 兼容 性 ， 整 个 磁盘 分 区 被 存储 为 一 个 文件 ， 易 于 备份 、 转 移 和 拷贝 。 

(2) 隔离 。 虚 拟 化 能 够 提供 理想 化 的 物理 机 ， 每 个 虚拟 机 互相 隔离 ， 数 据 不 会 在 虚拟 
机 之 间 泄 露 ， 应 用 只 能 在 配置 好 的 网 络 连接 上 进行 通信 。 

(3) 分 区 。 大 型 的 、 扩 展 能 力 强 的 硬件 能 够 被 用 来 作为 多 台独 立 的 服务 器 使 用 ， 在 一 
个 单独 的 物理 系统 上 ， 可 以 运行 多 个 操作 系统 和 应 用 ， 虚 拟 化 硬件 资源 可 以 被 放置 在 资源 
池 中 ， 并 能 够 被 有 效 地 控制 。 


2. 数据 中 心安 全 风险 分 析 


(1) 高 资源 利用 率 带 来 的 风险 集中 。 通 过 虚拟 化 技术 ， 提 高 了 服务 器 的 利用 效率 和 灵 
活性 ， 也 导致 服务 器 负载 过 重 ， 运 行 性 能 下 降 。 虚 拟 化 后 ， 多 个 应 用 集中 在 一 台 服 务 器 上 ， 
当 物 理 服 务 器 出 现 重大 硬件 故障 时 ， 将 有 更 严重 的 风险 集中 问题 。 虚 拟 化 的 本 质 是 应 用 只 
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与 虚拟 层 交 互 ， 而 与 真正 的 硬件 隔离 ， 这 将 导致 安全 管理 人 员 看 不 到 设备 背后 的 安全 风险 ， 
服务 器 变 得 更 加 不 固定 和 不 稳定 。 

(2) 网 络 架构 改变 带 来 的 安全 风险 。 虚 拟 化 技术 改变 了 网 络 结构 ， 会 引发 新 的 安全 风 
险 。 在 部 署 虚拟 化 技术 之 前 ， 可 在 防火 墙 上 建立 多 个 隔离 区 ， 对 不 同 的 物理 服务 器 采用 不 
同 的 访问 控制 规则 ， 可 有 效 保证 攻击 限制 在 一 个 隔离 区 内 。 在 部 署 虚 拟 化 技术 后 ， 一 台 虚 
拟 机 失效 ， 可 能 通过 网 络 将 安全 问题 扩散 到 其 他 虚拟 机 上 面 。 

(3) 虚拟 机 脱离 物理 安全 监管 的 风险 。 一 台 物 理 机 上 可 以 创建 多 个 虚拟 机 ， 且 可 以 随 
时 创建 ， 也 可 被 下 载 到 桌面 系统 上 ， 常 驻 内 存 ， 并 可 以 脱离 物理 安全 监管 的 范畴 。 很 多 安 
全 标准 是 依赖 于 物理 环境 发 挥 作用 的 ， 外 部 的 防火 墙 和 异常 行为 监测 等 都 需要 物理 服务 器 
的 网 络 流量 ， 有 时 虚拟 化 会 绕 过 安全 措施 ， 存 在 异 构 存 储 平台 无 法 统一 安全 监控 和 无 法 隔 
离 有 效 资源 的 风险 。 


3. 虚拟 环境 的 安全 风险 


(1) 黑客 攻击 : 控制 了 管理 层 的 黑客 会 控制 物理 服务 器 上 的 所 有 虚拟 机 ， 而 管理 程序 
上 运行 的 任何 操作 系统 都 很 难 侦 测 到 流氓 软件 等 的 威胁 。 

(2) 虚拟 机 溢出 : 虚拟 机 溢出 的 漏洞 会 导致 黑客 威胁 到 特定 的 虚拟 机 ， 将 黑客 攻击 从 
虚拟 服务 器 升级 到 控制 底层 的 管理 程序 。 

(3) 虚拟 机 跳跃 :虚拟 机 跳跃 会 允许 攻击 从 一 个 虚拟 机 跳 转 到 同一 个 物理 硬件 上 运行 
的 其 他 虚拟 服务 器 。 

(4) 补丁 安全 风险 : 物理 服务 器 上 安装 多 个 虚拟 机 后 ， 每 个 虚拟 服务 器 都 需要 定期 进 
行 补 本 更新、 维护 ， 大 量 的 打 补 工作 会 导致 不 能 及 时 补漏 而 产生 安全 威胁 。 安 全 研究 人 员 
在 虚拟 化 软件 中 发 现 了 严重 的 安全 漏洞 ， 即 可 通过 虚拟 机 在 主机 上 执行 恶意 代码 。 黑 客 还 
可 以 利用 虚拟 化 技术 隐藏 病毒 和 恶意 软件 的 踪迹 。 


4. 虚拟 化 数据 中 心 的 安全 设计 


(1) 数据 中 心 网 络 架 构 高 可 用 设计 。 在 新 一 代数 据 中 心虚 拟 化 网 络 架构 中 ， 通 过 IRF 
(Intelligent Resilient Framework) 技 术 将 多 台 网 络 设备 虚拟 化 成 一 台 设 备 统一 管理 和 使 用 ， 整 
体 无 环 设计 并 提高 可 用 性 。 在 IRF 架构 下 ， 基 本 原则 就 是 服务 器 双 网 卡 接 在 不 同 交 换 机 上 ， 
汇聚 交换 机 堆 又 后 ， 将 两 层 交 换 机 用 多 条 链 路 进行 捆绑 连接 ， 实 现 基于 物理 端口 的 负载 均 
衡 和 元 余 备 份 。 

(2) 数据 中 心 架构 规划 设计 时 ， 还 需要 按照 模块 化 、 层 次 化 的 原则 进行 。 从 可 靠 性 角 
度 看 ， 三 层 架 构 和 二 层 架构 均 可 以 实现 数据 中 心 网 络 的 高 可 用 ， 而 二 层 扁平 化 网 络 架 构 更 
适合 大 规模 服务 器 虚拟 化 集群 和 虚拟 机 的 迁移 。 模 块 化 设计 是 指针 对 不 同 功能 或 相同 功能 
不 同性 能 、 不 同 规模 的 应 用 进行 功能 分 析 的 基础 上 ， 划 分 出 一 系列 功能 模块 。 在 内 部 网 中 
根据 应 用 系统 的 重要 性 、 流 量 特征 和 用 户 特 征 的 不 同 ， 可 大 致 划分 几 个 区 域 ， 以 数据 中 心 
核心 区 为 中 心 ， 将 其 他 功能 区 与 核心 区 相连 ， 成 为 数据 中 心 网 络 的 边缘 区 域 。 

(3) 网 络 安全 的 部 署 设 计 。 虚 拟 化 数据 中 心 关注 的 重点 是 实现 整体 资源 的 灵活 调配 ， 
因此 在 考虑 访问 控制 时 ， 要 优先 考虑 对 计算 资源 灵活 性 调配 的 程度 。 网 络 安全 的 控制 点 尽 
量 上 移 ， 服 务 器 网 关 尽 量 不 设置 防火 墙 ， 避 免 灵活 性 的 降低 。 根 据 应 用 的 重要 程度 不 同 
利用 交换 机 和 防火 墙 来 实现 访问 的 工作 模式 。 
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6.4.5 ”数据 容 灾 

1. 数据 容 灾 的 概念 

数据 容 灾 系 统 ， 对 于 IT 而 言 ， 就 是 为 计算 机 信息 系统 提供 的 一 个 能 应 付 各 种 灾难 的 环 
境 。 当 计算 机 系统 在 遭受 如 火灾 、 水 灾 、 地 震 、 战 争 等 不 可 抗拒 的 自然 灾难 以 及 计算 机 犯 
罪 、 计 算 机 病毒 、 掉 电 、 网 络 /通信 失败 、 硬 件 /软件 错误 和 人 为 操作 错误 等 人 为 灾难 时 ， 容 
灾 系 统 将 保证 用 户 数据 的 安全 性 (数据 容 灾 )， 甚 至 ， 一 个 更 加 完善 的 容 灾 系 统 ， 还 能 提供 不 
间断 的 应 用 服务 (应 用 容 灾 )。 可 以 说 ， 容 灾 系 统 是 数据 存储 备份 的 最 高 层次 。 

一 般 来 说 ,为 了 保护 数据 安全 和 提高 数据 的 持续 可 用 性 ， 企 业 要 从 RFID 保护 、 宛 余 结 
构 、 数 据 备份 、 故 障 预 警 等 多 方面 考虑 。 一 套 完整 的 容 灾 系统 应 该 包括 本 地 容 灾 和 异地 容 
灾 。 对 于 那些 关键 业务 不 能 中 断 的 用 户 和 行业 ， 如 电信 、 海 关 、 金 融 行业 来 说 更 应 如 此 。 


2. 数据 容 灾 实现 方式 


(1) 数据 备份 。 所 谓 备份 ， 就 是 通过 特定 的 办 法 ， 将 数据 库 的 必要 文件 复制 到 转 储 设 
备 的 过 程 。 其 中 ， 转 储 设备 是 指 用 于 放置 数据 库 拷贝 的 磁带 或 磁盘 。 

选择 备份 的 依据 是 : 丢失 数据 的 代价 与 确保 数据 不 丢失 的 代价 之 比 。 另 外 ， 硬 件 的 备 
份 有 时 根本 就 满足 不 了 现实 需要 ， 比 如 误 删 了 一 个 表 ， 又 想 恢 复 该 表 的 时 候 ， 数 据 库 备 份 
就 变 得 重要 了 。 

Oracle 提供 了 强大 的 备份 与 恢复 策略 ， 包 括 常规 数据 库 备 份 (逻辑 备份 、 冷 备份 与 热 备 
份 ) 和 高 可 用 性 数据 库 ( 如 备用 数据 库 与 并 行 数据 库 )， 以 上 的 备份 主要 指数 据 库 的 常规 备份 。 

(2) 数据 复制 。SAN 专注 于 企业 级 存储 的 特有 问题 ， 主 要 用 于 存储 量 大 的 工作 环境 。 
当前 企业 存储 方案 所 遇 到 问题 的 两 个 根源 是 : 数据 与 应 用 系统 紧密 结合 所 产生 的 结构 性 限 
制 ， 以 及 目前 小 型 计算 机 系统 接口 SCSD 标 准 的 限制 。 大 多 数 分 析 都 认为 SAN 是 未 来 企业 
级 的 存储 方案 ， 这 是 因为 SAN 便于 集成 ， 能 改善 数据 可 用 性 及 网 络 性 能 ， 而 且 还 可 以 减轻 
存储 管理 作业 。 

SAN 是 目前 人 们 公认 的 最 具有 发 展 潜力 的 存储 技术 方案 , 而 未 来 SAN 的 发 展 趋势 将 是 
开放 、 智 能 与 集成 。NAS 是 目前 增长 最 快 的 一 种 存储 技术 ， 然 而 就 二 者 的 发 展 趋势 而 言 ， 
在 应 用 层面 上 SAN 和 NAS 将 实现 充分 的 融合 。 可 以 说 , NAS 和 SAN 技术 已 经 成 为 当今 数 
据 容 灾 备 份 的 主流 技术 ， 关 键 在 于 如 何在 此 基础 上 开发 完善 全 方位 、 多 层次 的 数据 容 灾 备 
份 系统 。 在 分 布 式 网 络 环境 下 ， 通 过 专业 的 数据 存储 管理 软件 ， 结 合 相 应 的 硬件 和 存储 设 
备 ， 来 对 全 网 络 的 数据 备份 进行 集中 管理 ， 从 而 实现 自动 化 的 备份 、 文 件 归档 、 数 据 分 级 
存储 以 及 灾难 恢复 等 功能 。 


3. 备份 的 重要 性 


备份 是 系统 中 需要 考虑 的 最 重要 的 事项 ， 虽 然 它们 在 系统 的 整个 规划 、 开 发 和 测试 过 
程 中 甚至 占 不 到 1%， 是 看 似 不 太 重要 且 默 默 无 闻 的 工作 ， 只 有 到 恢复 的 时 候 才 能 真正 体现 
出 其 重要 性 ， 任 何 数据 的 丢失 与 长 时 间 的 数据 宕 机 ， 都 是 备份 系统 不 可 以 被 接受 的 。 如 果 
备份 不 能 提供 恢复 的 必要 信息 ， 使 得 恢复 过 程 不 能 进行 或 长 时 间 地 进行 (如 一 个 没有 经 过 严 
格 测试 的 备份 方案 )， 这 样 的 备份 都 不 算 或 不 是 一 个 好 的 备份 。 
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如 果 出 现 系 统 崩 溃 的 灾难 ， 数 据 库 就 必须 进行 恢复 ， 恢 复 是 否 成 功 取决 于 两 个 因素 : 
精确 性 和 及 时 性 。 能 够 进行 什么 样 的 恢复 依赖 于 有 什么 样 的 备份 。 作 为 DBA， 有 责任 从 以 
下 3 个 方面 维护 数据 库 的 可 恢复 性 。 

(1) 使 数据 库 的 失效 次 数 减 到 最 少 ， 从 而 使 数据 库 保持 最 大 的 可 用 性 。 

(2) 当 数 据 库 失效 后 ， 使 恢复 时 间 减 到 最 少 ， 从 而 使 恢复 的 效益 达到 最 高 。 

(3) 当 数 据 库 失效 后 ， 确 保 尽 量 少 的 数据 丢失 或 根本 不 丢失 ， 从 而 使 数据 具有 最 大 的 
可 恢复 性 。 

数据 备份 是 容 灾 的 基础 ， 是 指 为 防止 系统 出 现 操作 失误 或 系统 故障 导致 数据 丢失 ， 而 
将 全 部 或 部 分 数据 集合 从 应 用 主机 的 硬盘 或 阵列 复制 到 其 他 存储 介质 的 过 程 。 传 统 的 数据 
备份 主要 是 采用 内 置 或 外 置 的 磁带 机 进行 冷 备份 。 但 是 这 种 方式 只 能 防止 操作 失误 等 人 为 
故障 ， 而 且 其 恢复 时 间 也 很 长 。 随 着 技术 的 不 断 发 展 ， 数 据 的 海量 增加 ， 不 少 的 企业 开始 
采用 网 络 备份 。 网 络 备份 一 般 通过 专业 的 数据 存储 管理 软件 结合 相应 的 硬件 和 存储 设备 来 
实现 。 

4. 数据 容 灾 策 略 描述 

为 了 满足 用 户 的 任务 请 求 ， 减 少 故 障 恢复 时 间 ， 实 现 较 低 成 本 的 数据 容 灾 ， 可 以 从 云 
提供 商 的 角度 出 发 ， 针 对 数据 存储 型 任务 ， 设 计 一 种 可 以 租用 其 他 云 提供 商 资 源 进行 备份 
的 数据 容 灾 策略 ， 即 基于 “ 富 云 ” 的 数据 容 灾 策略 。 在 RCDDRS 中 ， 一 个 云 提供 商 可 以 借 
助 其 他 云 提供 商 的 资源 代替 自 建 数据 容 灾 中 心 实现 数据 容 灾 ， 以 满足 更 多 用 户 的 任务 请 求 ， 
提高 其 商业 信誉 ， 增 加 经 济 收益 。RCDDRS 采用 3-Replicas 数据 备份 机 制 ， 用 于 保证 数据 
的 可 靠 性 。 在 进行 数据 备份 操作 时 ， 云 提供 商会 优先 选择 成 本 较 低 且 故障 恢复 时 间 较 短 的 
自身 资源 用 于 存储 数据 备份 ， 当 自身 存储 资源 不 足 时 ， 会 根据 存储 成 本 、 通 信 成 本 和 数据 
传输 带宽 合理 地 选择 其 他 云 提供 商 的 资源 用 于 存储 数据 备份 ， 这 样 可 以 尽 可 能 地 降低 数据 
容 灾 成 本 和 缩短 RTO 这 两 个 优化 目标 ， 并 且 所 有 的 用 户 任务 都 可 以 得 到 可 靠 的 数据 抗 毁 
性 保证 。 


内 由 





6.5 云 计 算 安 全 


云 计算 的 应 用 越 来 越 受 到 企业 和 政府 的 重视 ， 在 国内 已 有 阿里 云 、 百 度 云 、 华 为 云 、 
iCloud、Azure 等 商用 云 计算 服务 的 推出 ， 而 且 非 计算 机 企业 已 经 开始 涉足 云 计算 ， 如 通信 
企业 华为 也 开始 涉足 云 计算 这 一 领域 。 在 2012 年 世界 移动 通信 大 会 上 ， 华 为 进行 了 世界 首 
个 移动 宽带 加 速 云 解决 方案 的 现场 演示 ， 该 方案 通过 端 (终端 )、 管 (网 络 )、 云 (服务 ) 各 个 数 
据 传送 环节 的 创新 优化 ， 令 数据 终端 的 访问 速度 大 幅 提升 30%~80%。 另 外 ,微软 CEO 钢 
尔 默 称 Windows 8 将 借 云 计算 重 塑 软件 帝国 ，Windows 8 推出 的 云 服 务 SkyDrive 将 对 抗 其 
至 击败 iCloud。 因 此 ， 随 着 云 计算 应 用 的 普及 ， 云 计算 的 安全 性 也 受到 越 来 越 多 的 关注 。 

云 计 算 因 其 节约 成 本 、 维 护 方便 、 配 置 灵活 ， 已 经 成 为 各 国政 府 优先 推进 发 展 的 一 项 
服务 。 美 、 英 、 澳 大 利 亚 等 国家 纷纷 出 台 了 相关 发 展 政策 ， 有 计划 地 促进 政府 部 门 信息 系 
统 向 云 计 算 平 台 的 迁移 。 但 是 也 应 该 看 到 ， 政 府 部 门 采用 云 计算 服务 也 给 其 敏感 数据 和 重 
要 业务 带 来 了 安全 挑战 。 美 国 作为 云 计 算 服 务 应 用 的 倡导 者 ， 一 方面 推出 “ 云 优先 战略 ”， 
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要 求 大 量 联邦 政府 信息 系统 迁移 到 “云端 ”; 另 一 方面 为 确保 安全 ， 要 求 为 联邦 政府 提供 
的 云 计算 服务 必须 通过 安全 审查 。 


6.5.1 云 计算 的 定义 与 特点 


云 计算 (Cloud Computing) 是 网 格 计算 (Grid Computing)、 分 布 式 计 算 (Distributed 
Computing)、 并行 计算 (Parallel Computing)、 效 用 计算 (Utility Computing)、 网 络 存储 (Network 
Storage Technologies)、 虚 拟 化 (Virtualization)、 人 负载 均 衡 (Load Balance) 等 传统 计算 机 和 网 络 
技术 发 展 融 合 的 产物 .美国 NIST 对 云 计算 的 定义 是 : 云 计算 是 一 种 按 使 用 计 费 (Pay-per-Use) 
模型 ， 提 供 对 可 安装 且 可 靠 的 计算 资源 共享 池 进行 方便 的 、 按 需 的 网 络 访问 服务 ， 如 网 络 、 
服务 器 、 存 储 、 应 用 、 服 务 等 。 这 些 资源 能 够 快速 地 供给 和 发 布 ， 仅 需要 最 少 的 用 户 管理 
和 服务 供应 商 间 交互 。 云 是 一 个 容易 使 用 且 可 访问 的 虚拟 资源 池 ， 比 如 硬件 、 开 发 平台 和 
服务 。 这 些 资源 可 进行 动态 重 安装 以 适应 变化 的 负载 ， 人 允许 资源 的 优化 利用 ， 这 个 资源 池 
通常 被 付费 使 用 ， 其 质量 通常 是 通过 基础 设施 供应 商 与 客户 间 的 服务 层 共识 (Service Level 
Agreement) 来 保障 的 。 
因此 , 云 计算 的 5 个 关键 特征 是 : 按 需 自 服务 (On-Demand Self-Service)、 普 适 网 络 访问 
(Ubiquitous Network Access)、 资 源 池 (Resource Pooling)、 快 速 弹性 (Rapid Elasticity)， 按 使 用 
计 费 。 

1. 云 计 算 的 体系 结构 


云 计算 的 体系 结构 包括 3 个 部 分 : 基础 设施 层 IaaS(Infrastructure as a Service)、 平 台 层 
PaaS(Platform as a Service)、 应 用 层 SaaS(Software as a Service)。 

(1) 基础 设施 层 提 供 对 计算 、 存 储 、 带 宽 的 管理 ， 是 虚拟 化 技术 、 负 载 均衡 、 文 件 系 
统管 理 、 高 可 靠 性 存储 等 云 计 算 关 键 技 术 的 集中 体现 层 ， 是 平台 服务 和 应 用 服务 的 基础 。 

(2) 平台 层 为 应 用 层 的 开发 提供 接口 、API 调用 和 软件 运行 环境 。 应 用 层 开发 调用 
API， 不 需要 考虑 具体 负载 均衡 、 文 件 系统 、 储 存 系统 管理 等 实现 细节 。 

(3) 应 用 层 服 务 提供 具体 应 用 ， 是 一 种 通过 Internet 提供 软件 的 模式 ， 如 Sales Force 的 
客户 关系 管理 (CRM)、Google Apps 等 。 

2. 云 计算 的 技术 体系 

NIST 认为 ， 云 有 两 种 类 型 : 内 部 云 和 外 部 云 ， 以 及 四 种 部 署 模 型 : 私有 云 、 社区 云 、 
公共 云 、 异 种 云 。 维 基 百 科 认 为 ， 可 分 为 私有 云 、 公 共 云 和 异种 云 。 

(1) 私有 云 或 企业 云 (Private Cloud 或 Enterprise Cloud): 主要 是 大 型 企业 内 部 拥有 的 云 
计算 数据 中 心 ， 如 银行 、 电 信 等 行业 用 户 以 及 关注 数据 安全 的 用 户 。 大 型 企业 的 部 门 无 
须 将 业务 完全 转 给 公共 云 供应 商 ， 他 们 会 保留 原 有 系统 ， 但 新 增 系统 将 选用 基于 云 计 算 
的 架构 。 

(2) 公共 云 (Public Cloud): 云 计算 基础 设施 供应 商 拥 有 的 大 量 数据 中 心 , 为 中 小 企业 提 
供 云 平台 和 云 应 用 ， 即 通常 所 指 的 公共 云 供应 商 ， 为 社区 服务 的 公共 云 可 视 为 社区 云 ， 专 
门 为 某 个 企业 服务 的 云 可 视 为 托管 云 。 

(3) 异种 云 或 联邦 云 (Hybrid Cloud 或 Federal Cloud): 提供 云 间 的 互 操作 接口 ， 各 种 云 
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的 集合 体 ， 如 VMWareVCloud、OpenNebula。 

3. 云 计 算 的 优势 

云 计 算 具 有 如 下 的 优势 。 

(1) 协同 工作 方便 。 通 过 云 计算 的 应 用 层 ， 即 SaaS 层 ， 可 方便 地 在 多 个 用 户 间 协 同 工 
作 。 比 如 说 使 用 Google Docs 协同 编辑 文档 ， 以 及 使 用 Sales Force 管理 商业 活动 等 。 

(2) 无 时 无 处 不 在 的 享受 服务 。 云 计算 将 融合 各 种 现 有 计算 资源 ， 如 对 等 计算 (P2P)、 
网 格 计算 、Web 服务 等 。 通 过 各 种 有 线 或 无 线 接 入 网 络 ， 如 ADSL、WiFi、WiMAX、3G、 
卫星 网 络 等 ， 为 各 种 客户 端 ， 如 智能 手机 、PDA、 车 辆 网 络 节点 、 体 域 网 、 传 感 器 网 络 、 
可 穿戴 计算 (Wearable Computing)、 智 能 信息 家 电 的 嵌入 式 系统 等 ， 提 供 真正 意义 上 的 普 适 
(Ubiquitous) 计 算 和 服务 。 

(3) 系统 可 扩展 性 ， 伸 缩 性 较 强 。 当 需求 增 大 时 ， 无 须 购买 新 的 设备 并 升级 硬件 资源 ， 
系统 自动 升级 或 暂时 支付 服务 租用 的 租金 。 这 是 因为 云 计算 使 用 虚拟 的 计算 资源 ， 当 资源 
不 够 用 时 ， 可 以 通过 增加 虚拟 资源 的 方法 无 颖 升级 系统 (如 使 用 PowerVM、Xen 增加 一 个 计 
算 实例 )， 这 特别 适合 应 对 可 能 出 现 短暂 高 峰 资源 请 求 的 情况 。 

(4) 系统 可 用 性 ， 可 靠 性 高 。 由 于 资源 是 高 度 分 布 和 虚拟 化 的 ， 系 统 在 构建 时 通过 专 
业 手 段 (如 数据 备份 、 系 统 元 余 ) 保 证 高 可 靠 性 和 高 可 用 性 ， 保 障 24 小 时 的 不 间断 服务 。 

(5) 中 小 企业 节约 I 开 成 本 。 使 用 云 计算 的 好 处 在 于 初期 只 需要 很 小 投资 即 可 使 用 服务 。 
由 于 云 计算 的 使 用 是 根据 时 间 和 流量 付费 ， 硬 件 和 软件 的 费用 全 免 ， 所 以 初期 投资 与 传统 
方式 自 建 系统 相 比 要 小 很 多 。 同 时 ， 也 节约 了 系统 维护 的 人 力 成 本 。 云 计算 可 帮助 企业 节 
约 大 约 80% 的 使 用 面积 ，60% 的 电源 和 制冷 消耗 ， 达 到 3 倍 的 设施 利用 率 。 


6.5.2 云 计算 的 安全 问题 


云 计 算 的 安全 问题 应 包括 3 个 主要 方面 : 信任 (Trust) 问 题 、 网 络 与 系统 安全 问题 
(Security)、 隐 私 保护 (Privacy) 问 题 。 信 任 问 题 包括 云 服 务 的 信任 评价 、 信 任 管 理 等 问题 ， 云 
计算 的 网 络 安全 问题 包括 云 计算 数据 传输 的 通信 安全 问题 ， 系 统 安全 问题 ， 如 云 计算 平台 
的 可 靠 性 问题 、 数 据 存储 安全 问题 等 。 这 其 中 数据 存储 安全 是 云 计算 应 用 服务 能 否 被 用 户 
所 接受 和 信赖 的 前 提 ， 也 是 迫切 需要 研究 解决 的 问题 。 数 据 存储 安全 包括 数据 是 否 需要 加 
密 存储 ， 如 何 加 密 ， 是 在 客户 端 还 是 服务 器 端 加 密 ， 如 何在 不 信任 存储 服务 器 的 情况 下 保 
证 数据 存储 的 保密 性 和 完整 性 ， 如 何 检查 存储 在 云 存储 空间 的 数据 完整 性 。 另 外 ， 数 据 的 
隐私 保护 也 十 分 关键 ， 关 系 到 客户 是 否 愿意 采用 这 一 计算 模式 ， 包 括 用 户 的 行为 、 兴 趣 等 。 

我 国信 息 安全 专家 冯 登 国教 授 给 出 了 云 计算 安全 的 详细 综述 ， 认 为 云 计 算 安 全 具有 3 
个 挑战 : 建立 以 数据 安全 和 隐私 保护 为 主要 目标 的 云 安 全 技术 框架 ， 建立 以 安全 目标 验 
证 、 安 全 服务 等 级 测评 为 核心 的 云 计算 安全 标准 及 其 测评 体系 : 建立 可 控 的 云 计算 安全 
监管 体系 。 

云 用 户 的 安全 目标 主要 有 两 个 : 中 数据 安全 与 隐私 保护 服务 ， 防 止 云 服务 商 恶意 泄露 
或 出 卖 用 户 隐 私信 息 ， 或 者 对 用 户 数据 进行 搜集 和 分 析 ， 挖 掘 出 用 户 隐私 数据 ;四 安全 管 
理 ， 即 在 不 泄露 其 他 用 户 隐私 且 不 涉及 云 服 务 商 商业 机 密 的 前 提 下 ， 人 允许 用 户 获取 所 需 安 
全 配置 信息 以 及 运行 状态 信息 ， 并 在 某 种 程度 上 人 允许 用 户 部 署 实施 专用 安全 管理 软件 。 
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云 安 全 服务 可 以 分 为 可 信 云 基础 设施 服务 、 云 安全 基础 服务 以 及 云 安 全 应 用 服务 3 类 。 

(1) 可 信 云 基础 设施 服务 为 上 层 云 应 用 提供 安全 的 数据 存储 、 计 算 等 信息 资源 服务 。 
包括 两 个 方面 : Q 云 平台 应 分 析 传 统计 算 平台 面临 的 安全 问题 ,采取 全 面 严密 的 安全 措施 。 
例如 在 物理 层 考虑 厂房 安全 ， 在 存储 层 考虑 完整 性 和 文件 /日 志 管理 、 数 据 加 密 、 备 份 、 灾 
难 恢复 等 ， 在 网 络 层 应 当 考 虑 拒绝 服务 攻击 、DNS 安全 、 网 络 可 达 性 、 数 据 传输 机 密 性 等 ， 
系统 层 则 应 涵盖 虚拟 机 安全 、 补 丁 管理 、 系 统 用 户 身份 管理 等 安全 问题 ， 数 据 层 包 括 数据 
库 安 全 、 数 据 的 隐私 性 与 访问 控制 、 数 据 备份 与 清洁 等 ， 而 应 用 层 应 考虑 程序 完整 性 检验 
与 漏洞 管理 等 。@ 云 平台 应 向 用 户 证 明 自 己 具备 某 种 程度 的 数据 隐私 保护 能 力 ， 例 如 存储 
服务 中 证 明 用 户 数 据 以 加 密 形式 保存 ， 计 算 服 务 中 证 明 用 户 代码 运行 在 受 保护 的 内 存 中 等 。 

(2) 云 安 全 基础 服务 属于 云 基础 软件 服务 层 ， 为 各 类 云 应 用 提供 共性 信息 安全 服务 ， 
是 支撑 云 应 用 满足 用 户 安全 目标 的 重要 手段 。 其 中 比较 典型 的 几 类 云 安 全 服务 包括 : 云 用 
户 身份 管理 服务 、 云 访问 控制 服务 、 云 审计 服务 、 云 密码 服务 。 

(3) 云 安全 应 用 服务 与 用 户 的 需求 紧密 结合 ， 种 类 繁多 。 和 典型 的 例子 ， 如 DDoS 攻击 
防护 云 服 务 、Botnet 检测 与 监控 云 服 务 、 云 网 页 过 滤 与 杀毒 应 用 、 内 容 安全 云 服务 、 安 全 事 
件 监 控 与 预警 云 服 务 、 云 垃圾 邮件 过 滤 及 防治 等 。 

总 体 来 说 ， 云 计算 的 安全 研究 问题 应 该 主要 是 那些 与 云 计 算 的 特征 密切 相关 的 新 产生 
的 安全 问题 ， 包 括 10 个 方面 的 具体 问题 。 

(1) 数据 存储 安全 问题 : 数据 的 完整 性 和 保密 性 。 由 于 数据 存储 在 “ 云 ” 端 ， 且 通常 
“ 云 ” 端 是 不 被 信任 的 ， 因 此 需要 保证 托管 数据 的 完整 性 和 保密 性 。 

(2) 访问 控制 包括 服务 访问 控制 策略 的 描述 ， 访 问 控制 的 授权 机 制 。 

(3) 可 信 虚 拟 计算 问题 : 包括 安全 的 虚拟 化 计算 ， 安 全 的 虚拟 进程 移植 ， 进 程 间 安 全 
隔离 等 。 

(4) 信任 管理 : 服务 提供 者 之 间 的 信任 建立 与 管理 ， 服 务 者 与 用 户 间 的 信任 建立 与 
管理 。 

(5) 存储 可 靠 性 问题 : 将 数据 托管 或 者 外 包 到 “ 云 ” 端 存储 ， 因 此 要 注意 数据 分 布 式 
虚拟 存储 的 健壮 性 和 可 靠 性 ， 存 储 服 务 的 可 用 性 ， 灾 难 恢复 。 

(6) 鉴别 与 认证 : 用 户 标识 管理 ， 用 户 身 份 的 认证 。 

(7) 密 钥 管理 :数据 加 密 的 密 钥 管理 。 

(8) 加 密 解 密 服务 ， 在 何 处 进行 数据 的 加 密 和 解密 ， 能 否 通 过 服务 提供 安全 。 

(9) 云 服务 的 安全 : 尤其 是 Web 服务 的 安全 评估 、 安 全 扫描 和 检测 。 

(10) 其 他 的 问题 ， 云 计算 的 电子 取证 、 云 计算 风险 评估 和 管理 、 云 供应 商 的 规则 遵守 
(Compliance)、 审 计 等 。 

数据 存储 安全 和 计算 虚拟 化 安全 是 云 计算 两 个 急需 解决 的 安全 问题 ， 后 面 将 重点 讨论 
这 两 个 问题 及 其 关键 技术 。 

美国 Gartner 公司 认为 云 计算 主要 面临 以 下 7 类 安全 问题 。 

(1) 特权 用 户 访问 风险 。 管 理 数据 的 特权 用 户 有 可 能 绕 过 监管 对 内 部 程序 进行 控制 ， 
从 而 对 来 自 企 业 外 部 的 敏感 数据 造成 安全 风险 。 

(2) 法 规 遵 从 风险 。 由 于 数据 交 由 服务 提供 商 监管 ， 如 果 其 拒绝 接受 监督 和 审计 ， 最 
终 只 能 由 客户 对 于 自己 数据 的 安全 性 和 完整 性 负责 。 


























I 


下川 川 | 物 联网 安全 技术 


178. 


(3) 数据 保存 位 置 不 确定 。 由 于 云 计算 采用 虚拟 化 技术 以 及 分 布 式 存储 ， 无 法 得 知 数 
据 托管 于 何 处 ， 云 提供 商 可 能 存在 的 某 些 权限 会 对 数据 的 安全 造成 隐患 。 

(4) 数据 分 离 风 险 。 由 于 多 用 户 数据 一 起 保存 在 一 个 共享 的 云 环境 中 ， 因 此 需要 保证 
数据 间 的 隔离 。 加 密 虽 然 是 一 种 有 效 的 方法 ， 但 有 可 能 对 数据 的 可 用 性 造成 影响 。 

(5) 数据 恢复 。 当 发 生 灾难 的 情况 下 ， 提 供 商 能 否 对 数据 和 服务 进行 完整 的 恢复 ， 也 
会 影响 到 数据 的 安全 性 。 

(6) 调查 支持 风险 。 因 为 多 用 户 的 日 志文 件 和 数据 可 能 存放 在 一 起 ， 也 可 能 散落 于 不 
断 变化 的 主机 和 数据 中 心 内 ， 所 以 不 太 可 能 对 云 计算 环境 中 的 不 适当 或 者 违法 行为 进行 
调查 。 

(7) 长 期 可 用 性 风险 。 当 服务 提供 商 破 产 或 者 被 收购 时 ， 如 何 确保 数据 仍然 可 用 也 是 
一 个 突出 的 安全 问题 。 


6.5.3 云 计算 的 安全 需求 
1. 基础 设施 安全 需求 


基础 设施 为 用 户 提 供 计算 、 存 储 、 网 络 和 其 他 基础 计算 资源 的 服务 ， 用 户 可 以 使 用 云 
提供 商 提供 的 各 种 基础 计算 资源 ， 在 其 上 部 署 和 运行 任意 的 软件 ， 而 不 用 管理 和 控制 底层 
基础 设施 ， 但 将 同时 面临 软件 和 硬件 方面 综合 复杂 的 安全 风险 。 

(1) 物理 安全 。 物 理 安全 是 指 云 计算 所 依赖 的 物理 环境 安全 。 云 计算 在 物理 安全 上 面 
临 多 种 威胁 ， 这 些 威胁 通过 破坏 信息 系统 的 完整 性 、 可 用 性 或 保密 性 ， 造 成 服务 中 断 或 基 
础 设施 的 毁灭 性 破坏 。 物 理 安全 需求 包括 设备 安全 、 环 境 安全 以 及 灾难 备份 与 恢复 、 边 境 
保护 、 设 备 管理 、 资 源 利 用 等 方面 。 

(2) 计算 环境 安全 。 计 算 环境 安全 是 指 构成 云 计算 基础 设施 的 硬件 设备 的 安全 保障 及 
驱动 硬件 设施 正常 运行 的 基础 软件 的 安全 。 若 承担 系统 核心 计算 能 力 的 设备 和 系统 缺乏 必 
要 的 自身 安全 和 管理 安全 措施 ， 所 带 来 的 威胁 最 终 将 导致 所 处 理 数据 的 不 安全 。 安 全 需求 
应 包括 : 硬件 设备 需要 必要 的 自身 安全 和 管理 安全 措施 ， 基 础 软件 需要 安全 、 可 靠 和 可 信 ， 
设备 性 能 要 稳定 ， 以 及 确保 云 服务 持续 可 用 性 的 完备 的 灾 备 恢复 计划 。 

(3) 存储 安全 。 数 据 集中 和 新 技术 的 采用 是 产生 云 存 储 安全 问题 的 根源 。 云 计算 的 技 
术 特 性 引入 了 诸多 新 的 安全 问题 ， 多 租户 、 资 源 共享 、 分 布 式 存储 等 这 些 因素 加 大 了 数据 
保护 的 难度 ， 增 大 了 数据 被 滥用 和 受 攻击 的 可 能 。 因 此 ， 用 户 隐 私 和 数据 存储 保护 成 为 云 
计算 运营 者 必须 解决 的 首要 问题 。 存 储 安全 需求 包括 如 下 几 个 方面 。 

中 ”采用 适应 云 计 算 特 点 的 数据 加 密 和 数据 隔离 技术 防止 数据 泄露 和 窃取 。 

@ 采用 访问 控制 等 手段 防止 数据 滥用 和 非 授 权 使 用 。 

@ 防止 数据 残留 以 及 将 多 租户 之 间 的 信息 资源 进行 有 效 的 隔离 。 

由 多 用 户 密 钥 管理 必须 要 求 密 钥 隔离 存储 和 加 密 保护 ， 加 密 数 据 的 密 钥 明 文 不 出 现 
在 任何 第 三 方 的 载体 中 ， 且 只 能 由 用 户 自己 掌握 。 

完善 的 数据 灾 备 与 恢复 。 

(4) 虚拟 化 安全 。 云 计算 通过 在 其 部 署 的 服务 器 、 存 储 、 网 络 等 基础 设施 之 上 搭建 虚 

拟 化 软件 系统 以 实现 高 强 的 计算 能 力 ， 虚 拟 化 和 弹性 计算 技术 的 采用 ， 使 得 用 户 的 边界 模 
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糊 ， 传 统 的 采用 防火 墙 技术 实现 隔离 和 入 侵 检测 的 安全 边界 防护 机 制 在 云 计 算 环境 中 难以 
得 到 有 效 的 应 用 。 用 户 的 安全 边界 模糊 ， 带 来 一 系列 比 在 传统 方式 下 更 突出 的 安全 风险 ， 
如 虚拟 机 逃逸 、 虚 拟 机 镜像 文件 泄露 、 虚 拟 网 络 攻 击 、 虚 拟 化 软件 漏洞 等 安全 问题 。 

2. 平台 安全 需求 

PaaS 的 本 质 在 于 将 基础 设施 类 的 服务 升级 抽象 成 为 可 应 用 化 的 接口 ， 为 用 户 提供 开发 
和 部 署 平 台 ， 建 立 应 用 程序 ， 因 此 ， 安 全 需求 包括 以 下 几 方 面 。 

(1) APT 接口 及 中 间 件 安全 ,在 APT 接口 及 中 间 件 安全 方面 ,要 保证 APT 接口 的 安全 。 
PaaS 服务 的 安全 性 依赖 于 APT 的 安全 。 不 安全 的 接口 是 云 平台 面临 的 主要 安全 威胁 ， 如 果 
PaaS 提供 商 提 供 的 APT 及 中 间 件 等 本 身 具 有 可 被 攻击 者 利用 的 漏洞 、 恶 意 代码 或 后 门 等 风 
险 ， 将 给 云 计算 PaaS 资源 和 底层 基础 设施 资源 造成 数据 破坏 或 资源 滥用 的 风险 。 

(2) 防止 非法 访问 。 PaaS 平台 提供 的 APT 通常 包含 对 用 户 敏感 资源 的 访问 或 者 对 底层 
计算 资源 的 调用 , 同时 PaaS 平台 自身 也 存在 着 不 同 用 户 的 业务 数据 ,因此 ,需要 实施 API 用 
户 管理 、 身 份 认证 管理 及 访问 控制 ， 防 止 非 授 权 使 用 。 

(3) 保证 第 三 方 插件 安全 。 

(4) 保证 APT 软件 的 完整 性 。 

(5) 保证 服务 可 用 性 。Paas 服务 的 可 用 性 风险 是 用 户 不 能 得 到 云 服务 提供 商 提供 服务 
的 连续 性 。2009 年 ，Google 的 云 计 算 平 台 发 生 故 障 ， 微 软 云 计 算 平 台 彻底 裔 溃 ， 使 用 户 损 
失 了 大 量 的 数据 。 云 服务 提供 商 必须 有 服务 质量 和 应 急 预 案 ， 当 发 生 系统 故障 时 ， 如 何 保 
证 用 户 数据 的 快速 恢复 是 一 个 重要 的 安全 需求 。 

(6) 可 移植 性 安全 。 目 前 ， 对 于 PaaS APT 的 设计 还 没有 统一 的 标准 ， 因 此 ， 跨 越 PaaS 
平台 的 应 用 程序 移植 相当 困难 ，APT 标准 的 缺乏 影响 了 跨越 云 计 算 的 安全 管理 和 应 用 程序 
的 移植 。 


3. 应 用 软件 安全 需求 


(1) 数据 安全 。 这 里 主要 指 动态 数据 安全 问题 ， 包 括 用 户 数据 传输 安全 、 用 户 隐私 安 
全 和 数据 库 安 全 问题 ， 如 数据 传输 过 程 或 缓存 中 的 泄露 、 非 法 算 改 、 窃 取 以 及 病毒 、 数 据 
库 漏洞 破坏 等 。 因 此 ， 需 要 确保 用 户 在 使 用 云 服务 软件 过 程 中 的 所 有 数据 在 云 环境 中 传输 
和 存储 时 的 安全 。 

(2) 内 容 安 全 。 由 于 云 计算 环境 的 开放 性 和 网 络 复杂 性 ， 内 容 安 全 面临 的 主要 威胁 包 
括 非 授权 使 用 、 非 法 内 容 传播 或 自 改 。 内 容 安 全 需求 主要 是 版 权 保护 和 对 有 害 信息 资源 内 
容 实现 可 测 、 可 控 、 可 管 。 

(3) 应 用 安全 。 云 计算 应 用 安全 主要 是 建立 在 身份 认证 和 实现 对 资源 访问 的 权限 控制 
基础 上 。 云 应 用 需要 防止 非法 手段 窃取 用 户口 令 或 身份 信息 。 采 用 口令 加 密 、 身 份 联合 管 
理 和 权限 管理 等 技术 手段 ， 实 现 单 点 登录 应 用 和 跨 信任 域 的 身份 服务 。 对 于 提供 大 量 快速 
应 用 的 SaaS 服务 商 来 说 ， 需 要 建立 可 信和 可 靠 的 认证 管理 系统 及 权限 管理 系统 作为 保障 云 
计算 安全 运营 的 安全 基础 设施 。Web 应 用 安全 需求 重点 要 关注 传输 信息 保护 、Web 访问 控 
制 、 抗 拒绝 服务 等 。 
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4. 终端 安全 防护 需求 


云 接 入 端 使 用 浏览 器 来 接 入 云 计 算 中 心 ， 以 访问 云 中 的 JIaaS、PaaS 或 SaaS 服务 , 接 入 
端的 安全 性 直接 影响 到 云 计 算 的 服务 安全 。 

(1) 终端 浏览 器 安全 。 终 端 浏览 器 是 接收 云 服务 并 与 之 通信 的 唯一 工具 ， 浏 览 器 自身 
漏洞 可 能 使 用 户 的 密 钥 泄露 。 为 保护 浏览 器 和 终端 系统 的 安全 ， 重 点 需要 解决 终端 安全 防 
护 问题 ， 如 反 恶 意 软件 、 漏 洞 扫 描 、 非 法 访问 和 抗 攻 击 等 。 

(2) 用 户 身份 认证 安全 。 终 端 用 户 身 份 盗用 风险 主要 表现 在 因 木 马 、 病 毒 等 的 驻 留 而 
产生 的 用 户 登 录 云 计算 应 用 的 密码 遭遇 非法 窃取 ， 或 数据 在 通信 传输 过 程 中 被 非法 复制 、 
窃取 等 。 

(3) 终端 数据 安全 。 终 端 用 户 的 文件 或 数据 需要 加 密 保护 以 维护 其 私密 性 和 完整 性 ， 
那么 ， 是 传送 到 云 平台 加 密 还 是 在 终端 自己 加 密 以 后 再 送 至 云 平台 存储 ? 代理 加 密 技术 也 
许可 以 解决 SP 非 授 权 滥 用 的 问题 ,但 需 解决 可 用 性 问题 。 无 论 将 加 密 点 设 在 何 处 ， 都 要 考 
虑 如 何 防止 加 密 密 钥 和 用 户 数据 的 泄露 以 及 数据 安全 共享 或 方便 检索 等 问题 。 

(4) 终端 运行 环境 安全 。 终 端 运行 环境 是 指 用 户 终 端 提供 云 计算 客户 端 程序 运行 所 必 
需 的 终端 硬件 及 软件 环境 ， 这 是 与 传统 终端 一 样 面临 的 互联 网 接 入 风险 。 

5. 终端 安全 管理 需求 


云 计 算 环境 下 用 户 的 应 用 系统 和 数据 移 至 了 云 服务 提供 商 的 平台 之 上 ， 提 供 商 需要 承 
担 很 大 部 分 的 安全 管理 责任 。 无 论 对 IaaS、PaaS 或 SaaS 服务 模式 ， 云 计算 环境 的 复杂 性 、 
海量 数据 和 高 度 虚拟 化 动态 性 使 得 云 计算 安全 管理 更 为 复杂 ， 带 来 了 新 的 安全 管理 挑战 ， 
如 下 所 述 。 

(1) 系统 安全 管理 。 系 统 安全 管理 要 做 到 : @ 可 用 性 管理 ， 需 要 对 云 系统 不 同 组 件 进 
行 元 余 配 置 , 保证 系统 的 高 可 用 性 以 及 在 大 负载 量 下 的 负载 均衡 ; @ 漏 洞 、. 补丁 及 配置 (VPC) 
管理 ，VPC 管理 需 成 为 维护 云 计算 系 统 安全 的 必需 手段 ，@ 高 效 的 入 侵 检测 和 事件 响应 。 

(2) 人 员 安 全 管理 。 需 要 采用 基于 权限 的 访问 控制 和 细 粒 度 的 分 权 管理 策略 。 

(3) 安全 审计 。 除 了 传统 审计 之 外 ， 云 计算 服务 提供 商 还 面临 新 的 安全 审计 挑战 ， 审 
计 的 难度 在 于 需要 为 大 量 不 同 的 多 租户 用 户 提供 审计 管理 ， 以 及 在 云 计 算 大 数据 量 、 模 糊 
边界 、 复 用 资源 环境 下 的 取证 。 

(4) 安全 运 维 。 云 计算 的 安全 运 维 管理 比 传统 的 信息 系统 所 面临 的 运 维 管理 更 具 难 度 
和 挑战 性 。 云 计算 的 安全 运 维 管理 需要 从 对 云 平台 的 基础 设施 、 应 用 和 业务 的 监控 以 及 对 
计算 机 和 网 络 资源 的 入 侵 检测 、 时 间 响 应 和 灾 备 入 手 ， 提 供 完善 的 健康 监测 和 监控 圈 ， 提 
供 有 效 的 事件 处 理 及 应 急 响 应 机 制 ， 有 针对 性 地 实现 在 云 化 环境 下 的 安全 运 维 。 


6.5.4 云 计算 的 存储 安全 


云 计 算 的 数据 存储 安全 问题 通常 包括 3 个 方面 。 

(1) 数据 的 访问 控制 问题 : 如 何在 数据 加 密 的 状态 下 进行 访问 控制 ， 如 何 面 对 大 规模 
海量 数据 进行 高 效 的 访问 控制 ， 如 何在 不 信任 云端 服务 的 情况 下 确保 访问 控制 。 

(2) 数据 保密 性 问题 : 如 何 保障 用 户 的 数据 不 被 泄露 或 被 云 计算 供应 商 窥探 。 如 果 这 
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个 问题 没有 解决 ， 云 计算 便 不 可 能 存储 关键 或 者 敏感 数据 。 用 户 的 数据 如 何 加 密 ， 在 云端 
还 是 客户 端 加 密 ， 还 是 通过 可 信 第 三 方 加 密 。 是 否 可 能 提供 云 加 密 服 务 ， 如 何 定义 和 设计 
这 种 服务 。 

(3) 数据 完整 性 问题 : 包括 存储 的 数据 不 被 非法 修改 ， 数 据 不 丢失 ， 以 及 存储 的 可 靠 
性 问题 。 数 据 的 完整 性 如 何 验证 ， 特 别 是 客户 端 没有 数据 、 同 时 又 不 信任 云端 存储 的 数 
据 的 情况 下 ， 验 证 数据 的 完整 性 。 如 果 保 存 的 数据 频繁 地 更 新 ， 数 据 的 完整 性 验证 便 更 
加 困难 。 

云 计 算 的 实际 安全 需求 ， 为 密码 学 的 发 展 提供 了 驱动 力 ， 在 最 近 几 年 的 密码 学 学 术 会 
议 上 ， 常 可 以 看 到 可 应 用 于 云 计算 特别 是 云 存储 安全 而 提出 的 密码 学 方法 。 有 些 方法 甚至 
是 密码 学 原 语 级 的 构造 。 

1. 云 存储 的 访问 控制 一 一 基于 属性 的 加 密 和 代理 重 加 密 

针对 云 计 算 存储 数据 的 访问 控制 ， 一 个 典型 的 需求 就 是 加 密 后 的 数据 的 访问 控制 。 通 
常 的 访问 控制 模型 是 基于 角色 的 访问 控制 ， 即 按照 特定 的 访问 策略 建立 若干 角色 ， 通 过 检 
查访 问 者 的 角色 ， 控 制 访问 者 对 数据 的 访问 。 但 是 该 模型 通常 用 于 没有 加 密 的 数据 ， 或 者 
访问 控制 的 控制 端 是 可 信 的 。 若 对 于 加 密 的 数据 采取 这 种 访问 控制 ， 则 需要 使 用 将 来 欲 访 
问 该 数据 的 用 户 的 公 钥 去 加 密 数据 加 密 密 钥 ( 即 异 种 加 密 方式 ), 这 样 的 访问 控制 涉及 大 量 的 
在 客户 端的 数据 加 密 运算 、 访 问 控制 策略 简单 且 不 够 安全 。 

Sahai 与 Waters 在 2005 年 提出 基于 属性 的 加 密 体制 时 ， 发 展 了 传统 的 基于 身份 密码 体 
制 中 关于 身份 的 概念 ， 将 身份 看 作 是 一 系列 属性 的 集合 ， 提 出 了 基于 模糊 身份 的 加 密 ， 将 
生物 学 特性 直接 作为 身份 信息 应 用 于 基于 身份 的 加 密 方案 中 。 基 于 模糊 身份 的 目的 是 因为 
有 些 情况 下 只 需要 大 致 具有 该 身份 (属性 ) 的 人 便 可 以 解密 数据 ， 如 医疗 急救 情形 下 的 病 患 。 
2006 年 ，Goyal 等 人 在 基于 模糊 身份 加 密 方案 的 基础 上 提出 了 密 钥 策略 基于 属性 的 加 密 方 
案 (Key Policy Attribute-Based Encryption, KP-ABE)。2007 年 ，Bethencourt 等 人 提出 了 密 文 
策略 的 基于 属性 的 加 密 方案 ， 将 用 户 的 身份 表示 为 一 个 属性 集合 ， 而 加 密 数 据 则 与 访问 控 
制 结构 (访问 控制 策略 ) 相 关联 ， 一 个 用 户 能 否 解密 密 文 ， 取决 于 密 文 所 关联 的 属性 集合 与 用 
户 身份 对 应 的 访问 控制 结构 是 否 匹配 。 

2. 云 存储 的 数据 保密 性 一 一 同 态 加 密 HE 

为 了 保证 数据 的 保密 性 ， 云 存储 端 通常 存储 的 是 加 密 过 的 数据 ， 由 于 对 云 存储 服务 器 
不 是 完全 信任 ， 为 了 对 这 些 数据 进行 操作 ， 常 规 的 办 法 是 将 这 些 数据 发 回 到 客户 端 ， 由 客 
户 端 进行 解密 ， 然 后 进行 相应 的 计算 ， 完 成 后 再 加 密 上 传 到 云 存 储 端 。 这 带 来 了 很 大 的 通 
信 开 销 。 是 否 有 可 能 在 云 计 算 的 存储 端 就 能 进行 数据 的 计算 ， 且 不 需要 解密 即 针 对 密 文 进 
行 ? 这 时 候 就 可 以 借助 同 态 加 密 的 思想 。 

同 态 加 密 (Homomorphic Encryption) 是 指 对 两 个 密 文 的 操作 ， 解 密 后 得 到 的 明文 ， 等 同 
于 两 个 原始 明文 完成 相同 的 操作 。 现 有 的 多 数 同 态 加 密 算法 要 么 只 对 加 法 同 态 (例如 Paillier 
算法 )， 要 么 是 只 对 乘法 同 态 (例如 RSA 算法 ), 或 者 同时 对 加 法 和 简单 的 标量 乘法 同 态 (例如 
Iterated Hill Cipher, IHC 算法 和 Modified Rivest's Scheme，MRS 算法 )。 虽 有 几 种 算法 能 够 
同时 对 加 法 和 乘法 同 态 (例如 Rivest 加 密 方案 )， 但 存在 严重 的 安全 问题 。 

2009 年 ，IBM 研究 员 Craig Gentry 在 计算 机 理论 的 著名 会 议 STOC 上 发 表 论 文 ， 提 出 
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一 种 基于 理想 格 (Ideal Lattice) 的 全 同 态 加 密 算 法 , 成 为 一 种 能 够 实现 全 同 态 加 密 所 有 属性 的 
解决 方案 。 虽 然 该 方案 由 于 同步 工作 效率 有 待 改 进而 未 能 投入 实际 应 用 ， 但 是 它 已 经 实现 
了 全 同 态 加 密 领 域 的 重大 突破 。 全 同 态 加 密 能 够 在 没有 解密 密 钥 的 条 件 下 ， 对 加 密 数 据 进 
行 任意 复杂 的 操作 ， 以 实现 相应 的 明文 操作 。 


6.5.5 ”计算 虚拟 化 安全 

1. 计算 虚拟 化 简介 

前 面 讨论 的 安全 是 云 计算 的 “存储 ”安全 ， 本 节 讨论 云 计算 的 “计算 ”安全 。 云 计算 
的 一 个 关键 计算 就 是 计算 虚拟 化 技术 。 虚 拟 计算 (Virtualization) 技 术 的 引入 ， 打 破 了 真实 计 
算 中 软件 与 硬件 之 间 的 紧密 耦合 关系 。 虚 拟 计 算是 相对 于 所 谓 的 “真实 计算 ”而 言 的 , “ 真 
实 计算 ”就 是 将 计算 建立 在 真实 计算 机 硬件 基础 之 上 。 虚 拟 计算 则 强调 为 需要 运行 的 程序 
或 者 软件 营造 一 个 需要 的 执行 环境 ， 程 序 和 软件 的 运行 不 一 定 独 享 底层 的 物理 计算 资源 ， 
对 它 而 言 ， 它 只 是 运行 在 一 个 与 “真实 计算 ”完全 相同 的 执行 环境 中 ， 而 其 底层 的 硬件 可 
能 与 之 前 所 购置 的 计算 机 完全 不 同 。 例 如 ，VMware、Xen 等 都 推出 了 虚拟 化 软件 。 

G. Popek 和 R. Goldberg 认为 ， 虚 拟 计 算 具 有 以 下 3 个 特点 。 

(1) 保 真 性 (Fidelity): 强调 应 用 程序 在 虚拟 机 上 执行 ， 除 了 时 间 因 素 外 (会 比 在 物理 硬 
件 上 执行 慢 一 些 )， 将 表现 为 与 在 物理 硬件 上 相同 的 执行 行为 。 

(2) 高 性 能 (Performance): 强调 在 虚拟 执行 环境 中 , 应 用 程序 的 绝 大 多 数 指令 能 够 在 虚 
拟 机 管理 器 不 干预 的 情况 下 ， 直 接 在 物理 硬件 上 执行 。 

(3) 安全 性 (Safety): 物理 硬件 应 该 由 虚拟 机 管理 器 全 权 管理 ， 被 虚拟 出 来 的 执行 环境 
中 的 程序 (包括 操作 系统 ) 不 得 直接 访问 硬件 。 

另 一 个 比较 广义 的 定义 是 ， 虚拟 计算 是 一 种 采用 软 硬 件 分 区 、 聚 合 、 部 分 或 完全 模拟 、 
分 时 复 用 等 方法 来 管理 计算 资源 ， 构 造 一 个 或 者 多 个 计算 环境 的 技术 。 

目前 已 出 现 不 同 种 类 的 虚拟 化 解决 方案 ， 由 于 采用 的 实现 方式 和 抽象 层次 不 同 ， 使 得 
虚拟 化 系统 呈现 不 同 的 特性 。 计 算 机 系统 的 设计 采用 分 层 结构 ， 通 常 自 底 向 上 分 别 为 : 硬 
件 、 操 作 系 统 、 程 序 库 、 应 用 程序 。 其 间 的 接口 分 别 是 指令 集合 (ISA)、 系 统 调用 (SysCall) 
和 应 用 编程 接口 (APD。 理 论 上 ， 虚 拟 化 技术 采用 的 抽象 层次 可 以 在 这 几 层 中 自由 选取 ， 选 
取 的 多 样 性 决定 了 虚拟 化 技术 的 多 样 性 。 但 多 样 性 背后 的 虚拟 化 技术 实质 是 一 样 的 : 将 底 
层 资源 进行 分 区 ， 并 向 上 层 提 供 特定 的 和 多 样 化 的 执行 环境 。 

下 面 从 虚拟 机 实现 所 采用 的 抽象 层次 角度 对 虚拟 化 系统 进行 分 类 。 

(1) 指令 级 虚拟 化 。 通 过 软件 方法 ， 模 拟 出 与 实际 运行 的 应 用 程序 (或 操作 系统 ) 所 不 同 
的 指令 集 去 执行 ， 采 用 这 种 方法 构造 的 虚拟 机 一 般 称 为 模拟 器 (Emulator)。 一 个 典型 的 计算 
机 系统 由 处 理 器 、 内 存 、 总 线 、 硬 盘 驱 动 器 、 磁 盘 控 制 器 、 定 时 器 、 多 种 IO 设备 等 部 件 组 
成 。 模 拟 器 通过 将 客户 虚拟 机 发 出 的 所 有 指令 翻译 成 本 地 指令 集 ， 然 后 在 真实 的 硬件 上 执 
行 ， 如 Bochs、Cmsoe、QEMU、BIRD。 

(2) 硬件 级 虚拟 化 。 硬件 抽象 层面 (Hardware Abstract Layer，HAL) 虚 拟 化 实际 上 与 指令 
集 架 构 虚 拟 化 非常 相似 ， 不 同 之 处 在 于 ， 这 种 类 型 的 虚拟 化 所 考虑 的 是 一 种 特殊 情况 : 客 
户 执行 环境 和 主机 具有 相同 指令 集合 的 情况 ， 并 充分 利用 这 一 点 ， 让 绝 大 多 数 客户 指令 在 
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主机 上 直接 执行 ， 从 而 大 大 提高 了 执行 速度 ， 如 VMware、Virtual PC、Denali、Xen、 
KVM 等 。 

(3) 操作 系统 级 虚拟 化 。 一 个 应 用 的 操作 环境 包括 操作 系统 、 用 户 函数 库 、 文 件 系 统 、 
环境 设置 等 。 如 果 应 用 系统 所 处 的 这 些 环境 能 够 保持 不 变 ， 那 么 应 用 程序 自身 无 法 分 辨 出 
其 所 在 的 环境 与 真实 环境 之 间 的 差别 。 操 作 系统 虚拟 化 技术 的 关键 思想 在 于 ， 操 作 系统 之 
上 的 虚拟 层 按照 每 个 虚拟 机 的 要 求 为 其 生成 一 个 运行 在 物理 机 器 上 的 操作 系统 副本 ， 从 而 
为 每 个 虚拟 机 提供 一 个 完好 的 操作 环境 ， 并 且 实 现 虚 拟 机 及 其 物理 机 器 的 隔离 ， 如 Jail、 
Linux 内 核 模式 虚拟 化 、Ensim 。 

(4) 编程 语言 级 虚拟 化 。 在 应 用 层次 上 创建 一 个 和 其 他 类 型 虚拟 机 行为 方式 类 似 的 虚 
拟 机 ， 并 支持 一 种 新 的 自 定义 的 指令 集 (如 JVM 中 的 Java 字 节 码 )。 这 种 类 型 的 虚拟 机 使 得 
用 户 在 运行 应 用 程序 的 时 候 就 像 在 真实 的 物理 机 器 上 一 样 ， 且 不 会 对 系统 的 安全 造成 威胁 ， 

如 Java 虚拟 机 、Microsoft .NET CLI、Parrot 等 。 

(5) 程序 库 级 虚拟 化 。 在 几乎 所 有 的 系统 中 ， 应 用 程序 的 编写 都 使 用 由 一 组 用 户 级 库 
来 调用 的 API 函数 集 。 这 些 用 户 级 库 的 设计 能 够 隐藏 操作 系统 的 相关 底层 细节 ， 从 而 降低 
普通 程序 员 的 软件 开发 难度 。 它 们 工作 在 操作 系统 层 上 ， 创 造 了 一 个 与 众 不 同 的 虚拟 环境 ， 

在 底层 系统 上 实现 了 不 同 的 应 用 程序 二 进 制 接口 ABD 和 不 同 的 应 用 程序 编程 接口 APD, 如 
WINE、WAB1、LxRun、Visual MainWin 等 。 


2. 计算 虚拟 化 的 安全 


虚拟 化 系统 的 安全 挑战 主要 有 两 个 方面 。 

(1) 来 自 计算 系统 体系 结构 的 改变 。 虚 拟 化 计算 已 从 完全 的 物理 隔离 方式 发 展 到 共享 
式 虚 拟 化 ， 实 现 计 算 系 统 虚拟 化 需要 在 计算 性 能 、 系 统 安 全 、 实 现 效率 等 因素 之 间 进 行 权 
衡 。 于 是 虚拟 机 监视 器 和 相关 具有 部 分 控制 功能 的 虚拟 机 成 为 漏洞 攻击 的 首选 对 象 。 另 外 ， 
现 有 虚拟 化 系统 通常 采用 自主 访问 控制 方式 ， 难 以 在 保障 虚拟 机 隔离 的 基础 上 实现 必要 的 
有 限 共享 。 

(2) 计算 机 系统 的 运行 形态 发 生 了 变化 。 虚 拟 计算 允许 用 户 通过 操纵 文件 的 方式 来 创 
建 、 复 制 、 存 储 、 读 写 、 共 享 、 移 植 以 及 回溯 一 个 机 器 的 运行 状态 ， 这 些 极 大 地 增强 了 使 
用 的 灵活 性 ， 却 破坏 了 原 有 基于 线性 时 间 变 化 系统 设 定 的 安全 策略 、 安 全 协议 等 的 安全 性 
和 有 效 性 ， 包 括 软件 生命 周期 和 数据 生命 周期 所 引起 的 系统 安全 。 

传统 计算 机 的 生命 周期 可 以 被 看 作 一 条 直线 ， 当 前 计算 机 的 状态 是 直线 上 的 一 个 点 。 
当 软 件 运行 、 配 置 改变 、 安 装 软件 、 安 装 补丁 程序 时 ， 计 算 机 的 状态 单调 地 向 前 进行 。 但 
在 一 个 虚拟 计算 环境 中 ， 计 算 机 的 状态 更 像 是 一 棵 树 : 在 任意 一 点 都 可 能 产生 多 个 分 支 ， 
即 任意 时 刻 在 这 棵 树 上 的 任意 一 点 都 有 可 能 有 一 个 虚拟 机 的 多 个 实例 在 运行 。 分 支 是 由 于 
虚拟 计算 环境 的 可 撤销 特性 与 检查 点 特性 所 产生 的 ， 这 使 得 虚拟 机 能 够 回溯 到 以 前 的 状态 
或 者 从 某 个 点 重新 执行 。 这 种 执行 模式 与 一 般 系 统 中 的 补丁 管理 和 维护 功能 相 违背 ， 因 为 
在 一 般 系统 中 假设 系统 状态 是 单调 向 前 进行 的 。 

在 虚拟 机 系统 中 ， 通 常 将 一 些 操作 系统 中 的 安全 及 管理 函数 移 到 虚拟 层 里 。 虚 拟 层 里 
的 核心 是 高 可 信 的 虚拟 机 监控 器 。 虚 拟 机 监控 器 通过 执行 安全 策略 来 保证 系统 的 安全 ， 这 
首先 要 求 它 本 身 是 可 信 的 ， 本 身 的 完整 性 可 通过 专门 的 安全 硬件 来 进行 验证 。 
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虚拟 机 监控 器 执行 的 安全 策略 对 于 虚拟 系统 安全 十 分 重要 ， 例 如 限制 敏感 虚拟 机 的 复 
制 ， 控制 虚拟 机 与 底层 设备 的 交互 ; 阻止 特定 虚拟 机 被 安置 在 可 移动 媒体 上 ; 限制 虚拟 机 
可 以 驻 留 的 物理 主机 ， 在 特定 时 间 段 限制 对 含有 敏感 数据 的 虚拟 机 的 访问 。 此 外 ， 用 户 和 
机 器 的 身份 可 以 被 用 来 证 明 所 有 权 、 责 任 以 及 机 器 的 历史 。 追 踪 诸 如 机 器 数据 以 及 它们 的 
使 用 模式 ， 可 以 帮助 评估 潜在 威胁 的 影响 。 而 在 虚拟 层 采 用 加 密 方式 ， 可 以 用 来 处 理由 于 
虚拟 机 交换 (Swapping)、 检 测 点 (Check Pointing)、 回 溯 (Rollbaclo) 等 引起 的 数据 生命 周期 的 
问题 。 

通过 虚拟 机 监控 器 ， 多 个 虚拟 机 可 以 共享 相同 的 物理 CPU、 内 存 和 IO 设备 等 。 它 们 
或 者 是 空间 共享 的 方式 ， 或 者 是 复 用 的 方式 使 用 相同 的 物理 设备 ， 需 要 通过 相应 的 安全 机 
制 保障 相互 间 的 有 效 隔离 。 虚 拟 机 监控 器 采用 类 似 虚 拟 内 存 保护 (虚拟 地 址 访问 独立 进程 地 
址 空间 ) 的 方式 ， 为 每 个 虚拟 机 提供 一 个 虚拟 的 机 器 地 址 空间 ， 然 后 由 虚拟 机 监控 器 将 虚拟 
机 的 机 器 地 址 空间 映射 到 实际 的 机 器 地 址 空间 中 。 虚 拟 机 中 的 操作 系统 所 见 的 机 器 地 址 是 
由 虚拟 机 监控 器 提供 的 虚拟 机 器 地 址 。 虚 拟 机 监控 器 运行 于 最 高 级 别 ， 其 次 是 操作 系统 。 
虚拟 机 监控 器 具备 执行 特权 指令 的 能 力 , 并 控制 虚拟 CPU 向 物理 CPU 映射 的 安全 隔离 。 通 
过 CPU 硬件 的 运行 级 别 功能 ， 可 以 有 效 控制 CPU 虚拟 化 的 安全 性 。 

在 程序 级 虚拟 使 用 环境 的 安全 保障 方面 ， 典 型 的 代表 就 是 Java 安全 虚拟 机 。 它 提供 了 
包括 安全 管理 器 和 Java 类 文件 认证 器 等 多 种 安全 机 制 。 安 全 管理 器 提供 在 应 用 程序 和 特定 
系统 上 的 安全 措施 ，Java 认证 器 在 .class 文件 运行 前 完成 该 文件 的 安全 检查 ， 确 保 Java 字 节 
码 符合 Java 虚拟 机 规范 。 针 对 操作 系统 虚拟 化 的 安全 问题 ， 基 于 Windows 操作 系统 的 
Microsoft 虚拟 机 能 阻止 恶意 用 户 对 Java Applet 访问 COM 对 象 、 调 用 JDBC 等 安全 漏洞 的 
攻击 。 

在 虚拟 机 的 安全 验证 方面 ， 典 型 代表 是 ReVirt 系统 ， 该 系统 采用 虚拟 机 技术 提供 独立 
于 操作 系统 的 安全 验证 功能 ， 它 能 提供 足够 信息 逐条 回放 虚拟 机 上 执行 的 任务 ， 通 过 建立 
具有 各 种 依赖 关系 的 攻击 事件 链 ， 重 构 出 攻击 细节 。ReVirt 采用 了 反 向 观察 点 和 反 向 断 点 
技术 ， 对 虚拟 机 上 的 恶意 攻击 进行 检测 和 回放 ， 提 供 验证 功能 。 


6.5.6 云 计算 的 安全 标准 
1. ISONEC JTCISC27 


ISO/IEC JTCLSC27 是 国际 标准 化 组 织 (ISO) 和 国际 电工 委员 会 IEC) 的 信息 技术 联合 技 
术 委 员 会 (JTCI) 下 专门 从 事 信息 安全 标准 化 的 分 技术 委员 会 (SC27)， 是 信息 安全 领域 中 最 具 
代表 性 的 国际 标准 化 组 织 。SC27 下 设 5 个 工作 组 ， 工 作 范 围 广 泛 地 涵盖 了 信息 安全 管理 和 
技术 领域 ， 包 括 信息 安全 管理 体系 、 密 码 学 与 安全 机 制 、 安 全 评价 准则 、 安 全 控制 与 服务 、 
身份 管理 与 隐私 保护 技术 。SC27 于 2010 年 10 月 启动 了 研究 项 目 《 云 计算 安全 和 隐私 》， 
由 WG1/WG4/WGS5 联合 开展 。 目 前 ，SC27 已 基本 确定 了 云 计 算 安 全 和 隐私 的 概念 体系 架 
构 ， 明 确 了 SC27 关于 云 计算 安全 和 隐私 标准 研制 的 3 个 领域 。 


2.1TU-T 


ITU-T 的 中 文 名 称 是 国际 电信 联盟 远程 通信 标准 化 组 织 [TU-T for ITU Telecommunication 
Standardization Sector), 它 是 国际 电信 联盟 管理 下 的 专门 制定 远程 通信 相关 国际 标准 的 组 织 。 
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该 机 构 创建 于 1993 年 ， 前 身 是 国际 电报 电话 咨询 委员 会 (CCTTT)， 总 部 设 在 瑞士 日 内 瓦 。 
ITU-T 于 2010 年 6 月 成 立 了 云 计算 焦点 组 FG Cloud, 致力 于 从 电信 和 角度 为 云 计算 提 供 
支持 。 焦 点 组 运行 时 间 到 2011 年 12 月 ， 后 续 云 工作 已 经 分 散 到 别 的 研究 组 (SG)。 云 计算 
焦点 组 发 布 了 包含 《 云 安 全 》 和 《 云 计算 标准 制定 组 织 综述 》 在 内 的 7 份 技术 报告 。 
《 云 安全 》 报 告 旨 在 确定 ITU-T 与 相关 标准 化 制定 组 织 需要 合作 开展 的 云 安全 研究 主 
题 。 确 定 的 方法 是 对 包括 欧洲 网 络 信息 安全 (ENISA)、ITU-T 等 标准 制定 组 织 目前 开展 的 云 
安全 工作 进行 评价 ， 在 评价 的 基础 上 确定 对 云 服务 用 户 和 云 服务 供 应 商 的 若干 安全 威胁 与 
安全 需求 。 
《 云 计算 标准 制定 组 织 综述 》 报 告 主要 对 美国 国家 标准 与 技术 研究 院 (NIST)、 分 布 式 管 
理 任务 组 织 (DMTF)、 云 安全 联盟 (CSA) 等 标准 制定 组 织 在 以 下 7 个 方面 开展 的 活动 及 取得 
的 研究 成 果 进 行 了 综述 和 列表 分 析 ， 包 括 云 生态 系统 、 使 用 案例 、 需 求 和 商业 部 署 场景 ; 
功能 需求 和 参考 架构 ， 安 全 、 审 计 和 隐私 (包括 网 络 和 业务 的 连续 性 )， 云 服务 和 资源 管理 、 
台 及 中 间 件 ， 实 现 云 的 基础 设施 和 网 络 ， 用 于 多 个 云 资 源 分 配 的 跨 云 程序 、 接 口 与 服务 
水 平 协议 ， 用户 友 好 访问 、 虚 拟 终端 和 生态 友好 的 云 。 报 告 指出 ， 上 述 标准 化 组 织 都 出 于 
各 自 的 目的 制定 了 自己 的 云 计 算 标 准 架构 ， 但 这 些 架构 并 不 相同 ， 也 没有 一 个 组 织 能 够 覆 
盖 云 计算 标准 化 的 全 貌 。 报 告 建议 ITU-T 应 在 功能 架构 、 跨 云 安 全 和 管理 、 服 务 水 平 协议 
研究 领域 发 挥 引领 作用 。 而 ITU-T 和 国际 标准 化 组 织 /国际 电工 委员 会 的 第 一 联合 技术 委员 
会 则 应 采取 互补 的 标准 化 工作 ， 以 提高 效率 和 避免 工作 重 释 。 


3. CSA 


云 安全 联盟 (CSA) 是 在 2009 年 的 RSA 大 会 上 宣布 成 立 的 一 个 非 营利 性 组 织 。 云 安全 联 
盟 致力 于 在 云 计算 环境 下 提供 最 佳 的 安全 方案 。 如 今 ，CSA 获得 了 业界 的 广泛 认可 ， 其 发 
布 了 一 系列 研究 报告 ， 对 业界 有 着 积极 的 影响 。 这 些 报告 从 技术 、 操 作 、 数 据 等 多 方面 强 
调 了 云 计算 安全 的 重要 性 、 保 证 安全 性 应 当 考 虑 的 问题 以 及 相应 的 解决 方案 ， 对 形成 云 计 
算 安 全 行业 规范 具有 重要 影响 。 其 中 ，《 云 计算 关键 领域 安全 指南 》 最 为 业界 所 熟知 ， 在 
当前 尚 无 一 个 被 业界 广泛 认可 和 普遍 遵从 的 国际 性 云 安全 标准 的 形势 下 ， 是 一 份 重要 的 参 
考 文献 。CSA 于 2011 年 11 月 发 布 了 指南 第 三 版 ， 从 架构 、 治 理 和 实施 3 个 部 分 、14 个 关 
键 域 对 云 安全 进行 了 深入 阐述 。 另 外 ， 开 展 的 云 安全 威胁 、 云 安全 控制 矩阵 、 云 安全 度量 
等 研究 项 目 在 业界 得 到 了 积极 的 参与 和 支持 。 

4. NIST 


美国 国家 标准 与 技术 研究 院 (NIST) 直 属 美国 商务 部 , 提供 标准 、 标 准 参考 数据 及 有 关 服 
务 ， 在 国际 上 享有 很 高 的 声誉 ， 前 身 为 美国 国家 标准 局 。2009 年 9 月 ， 奥 巴 马 政府 宣布 实 
施 联邦 云 计 算计 划 。 为 了 落实 和 配合 美国 联邦 云 计算 计划 ，NIST 牵头 制定 了 云 计算 标准 和 
指南 ， 以 加 快 联邦 政府 安全 采用 云 计算 的 进程 。NIST 在 进行 云 计 算 及 安全 标准 的 研制 过 程 
中 ， 定 位 于 为 美国 联邦 政府 安全 高 效 使 用 云 计算 提供 标准 支撑 服务 。 迄 今 为 止 ，NIST 成 立 
了 5 个 云 计算 工作 组 ， 出 版 了 多 份 研究 成 果 ， 由 其 提出 的 云 计算 定义 、3 种 服务 模式 、5 种 
部 署 模型 、5 个 基础 特征 被 认为 是 描述 云 计 算 的 基础 性 参照 。NITST 云 计算 工作 组 包括 云 
计算 参考 架构 和 分 类 工作 组 、 旨 在 促进 云 计算 应 用 的 标准 推进 工作 组 、 云 计算 安全 工作 组 、 
云 计 算 标准 路 线 图 工作 组 、 云 计算 业务 用 例 工作 组 。 
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5. ENISA 


2004 年 3 月 ， 为 提高 欧 共 体 范围 内 网 络 与 信息 安全 的 级 别 ， 提 高 欧 共 体 、 成 员 国 以 及 
业界 团体 对 于 网 络 与 信息 安全 问题 的 防范 、 处 理 和 响应 能 力 ， 培 养 网 络 与 信息 安全 文化 ， 
欧盟 成 立 了 “欧洲 信息 安全 局 ”。 在 2009 年 ， 欧 盟 网 络 与 信息 安全 局 (ENISA) 就 启动 了 相 
关 研 究 工作 ， 先 后 发 布 了 《 云 计 算 : 优势 、 风 险 及 信息 安全 建议 》 和 《 云 计算 信息 安全 保 
障 框架 》。2011 年 ，ENISA 又 发 布 了 《政府 云 的 安全 和 弹性 》 报 告 ， 为 政府 机 构 提 供 了 决 
策 指 南 。2012 年 4 月 , 欧盟 网 络 与 信息 安全 局 发 布 了 《 云 计 算 合同 安全 服务 水 平 监测 指南 》， 
提供 了 一 套 持续 监测 云 计算 服务 提供 商 服务 级 别 协议 运行 情况 的 操作 体系 ， 以 达到 实时 核 
查 用 户 数据 安全 性 的 目的 。 

6. 全 国信 息 安 全 标准 化 技术 委员 会 


国内 有 多 个 机 构 从 事 云 计算 标准 的 研究 和 制定 ， 其 中 ， 专 注 云 计算 安全 相关 标准 的 管 
理 单位 是 全 国信 息 安全 标准 化 技术 委员 会 (简称 信安 标 委 )(C260)。 信 安 标 委 专注 于 云 计算 安 
全 标准 体系 建立 及 相关 标准 的 研究 和 制定 ， 成 立 了 多 个 云 计算 安全 标准 研究 课题 ， 承 担 并 
组 织 协调 政府 机 构 、 科 研 院 校 、 企 业 等 开展 云 计 算 安全 标准 化 研究 工作 。 
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应 用 层 主 要 用 来 对 接收 的 信息 加 以 处 理 ， 要 对 接收 的 信息 进行 判断 ， 分 辨 其 是 有 用 信 
息 、 垃 圾 信息 还 是 恶意 信息 。 本 章 主 要 介绍 物 联网 应 用 层 安全 技术 ， 对 Web 安全 、 中 间 件 
安全 、 数 据 安 全 及 云 计 算 安全 和 物 联 网 信息 安全 标准 进行 介绍 和 分 析 。 物 联网 应 用 层 安 全 
也 包括 服务 端的 安全 问题 。 服 务 端 安全 涉及 的 范围 可 以 更 广 ， 如 服务 器 端的 访问 控制 技术 、 
数据 库 安 全 相关 技术 、P2P 安全 技术 等 。 
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会 物 联网 信息 接 入 安全 
技术 分 析 


学 习 导 读 


物 联网 架构 层次 复杂 ， 且 包括 多 种 通信 方式 。 通信 是 物 联 网 信息 
传输 的 一 个 重要 技术 环节 ， 感 知 信息 和 用 户 都 要 通过 网 络 的 方式 进行 
信息 传输 和 信息 交换 。 而 用 户 和 传感器 网 络 通过 何 种 网 络 技术 和 何 种 
方式 安全 接 入 物 联网 ， 是 物 联 网 信息 安全 中 需要 考虑 的 重要 问题 。 
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7.1 物 联 网 的 接 入 安全 


认证 技术 是 信息 安全 理论 与 技术 的 一 个 重要 方面 ， 身 份 认 证 是 物 联 网 信息 安全 的 第 一 
道 防线 。 用 户 在 访问 安全 系统 之 前 ， 首 先 经 过 身份 认证 系统 识别 身份 ， 然 后 访问 监控 器 
根据 用 户 的 身份 和 授权 数据 库 决 定 用 户 是 否 能 够 访问 某 个 资源 。 授 权 数 据 库 由 安全 管理 员 
按照 需要 进行 配置 。 审 计 系统 根据 审计 配置 记录 用 户 的 请 求 和 行为 ， 同 时 入 侵 检测 系统 实 
时 或 非 实 时 地 检测 是 否 有 入 侵 行为 。 访 问 控制 和 审计 系统 都 要 依赖 身份 认证 系统 提供 的 用 
户 身份 ， 所 以 身份 认证 在 安全 系统 中 的 地 位 非常 重要 ， 是 最 基本 的 安全 服务 ， 其 他 的 安全 
服务 都 依赖 于 它 。 一 旦 身份 认证 系统 被 攻破 ， 那 么 系统 的 所 有 安全 措施 将 形同虚设 。 

随 着 物 联网 的 快速 发 展 ， 大 量 的 智能 终端 和 传感器 系统 的 网 络 与 外 部 频繁 的 通信 必然 
会 导致 进入 物 联网 系统 内 部 网 络 的 外 来 用 户 越 来 越 多 ， 网 络 管理 人 员 也 越 来 越 难 以 控制 用 
户 用 来 登录 系统 网 络 的 终端 设备 。 事 实 上 ， 目 前 一 些 企业 和 学 校 、 政 府 机 构 的 内 部 网 络 普 
遍 存 在 难以 监控 外 来 计算 机 接 入 内 网 的 情况 ， 而 外 来 用 户 随意 接 入 内 部 网 络 ， 极 有 可 能 导 
致 某 些 不 怀 好 意 者 在 使 用 者 毫 不 知情 的 情况 下 侵入 内 部 网 络 ， 造 成 敏感 数据 泄露 、 病 毒 传 
播 等 严重 后 果 。 另 外 ， 物 联网 内 部 合法 用 户 的 终端 ， 也 同样 会 给 内 部 网 络 带 来 安全 风险 ， 
如 没有 及 时 升级 系统 安全 补丁 和 病毒 库 等 ， 都 可 能 会 导致 其 成 为 安全 隐患 ， 给 物 联网 系统 
的 内 部 网 络 安全 造成 严重 的 安全 威胁 。 

网 络 接 入 安全 技术 正 是 在 这 种 需求 下 产生 的 ， 它 能 保证 访问 网 络 资源 的 所 有 设备 得 到 
有 效 的 安全 控制 ， 从 而 消除 各 种 安全 威胁 对 网 络 资源 的 影响 。 它 使 网 络 中 的 所 有 接 入 层 设 
备 成 为 安全 加 强 点 ， 而 终端 设备 必须 达到 一 定 的 安全 策略 和 策略 条 件 才 可 以 通过 路 由 器 和 
交换 机 接 入 网 络 。 这 样 可 以 大 大 消除 蠕虫 、 病 毒 等 对 联网 业务 的 严重 威胁 和 影响 ， 帮 助 用 
户 发 现 、 预 防 和 消除 安全 威胁 。 

依据 物 联网 中 各 个 层次 接 入 物 联网 方式 的 不 同 ， 物 联网 接 入 安全 分 为 节点 接 入 安全 、 
网 络 接 入 安全 和 用 户 接 入 安全 。 


7.1.1 节点 接 入 安全 


节点 接 入 安全 主要 考虑 物 联网 感知 节点 的 接 入 安全 。 对 于 物 联 网 感知 层 的 多 种 技术 ， 
本 节选 择 无 线 传 感 技术 进行 介绍 。 要 实现 各 种 感知 节点 的 接 入 ， 需 要 无 线 传 感 网 通过 某 种 
方式 与 互联 网 相连 ， 使 得 外 部 网 络 中 的 设备 可 对 传 感 区 域 进行 控制 与 管理 。 目 前 IPv4 正在 
向 IPv6 过 渡 ，IPv6 拥有 巨大 的 地 址 空间 ， 可 以 为 每 个 传 感 节点 预 留 一 个 瑟 地 址 。 

在 卫 基础 协议 栈 的 设计 方面 ，IPv6 将 IPSec 协议 嵌入 基础 的 协议 栈 中， 通信 的 两 端 可 
以 启用 IPSec 加 密 通 信 的 信息 和 通信 的 过 程 。 网 络 中 的 黑客 将 不 能 采取 中 间 人 攻击 的 方法 对 
通信 过 程 进行 劫持 和 破坏 。 同 时 ， 黑 客 即使 截取 了 节点 的 通信 数据 包 ， 也 会 因为 无 法 解答 
而 不 能 窃取 通信 节点 的 信息 。 从 整体 来 看 ， 使 用 IPv6 不 仅 能 满足 物 联 网 的 地 址 需求 ， 同 时 
还 能 满足 物 联网 对 节点 移动 性 、 节 点 元 余 、 基 于 流 的 服务 质量 保障 的 需求 ， 很 有 希望 成 为 
物 联 网 应 用 的 基础 网 络 安全 技术 。 

当前 基于 IPv6 的 无 线 接 入 技术 ， 主 要 有 以 下 两 种 方式 。 
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1. 代理 接 入 方式 


代理 接 入 方式 是 指 将 协调 节点 通过 基站 (基站 是 一 台 计 算 机 ) 接 入 互联 网 。 传 感 网 络 把 采 
集 到 的 数据 传 给 协调 节点 ， 再 通过 基站 把 数据 通过 互联 网 发 送 到 数据 处 理 中 心 ， 同 时 有 一 
个 数据 库 服务 器 用 来 缓存 数据 。 用 户 可 以 通过 互联 网 向 基站 发 送 命令 ， 或 者 访问 数据 中 心 。 
在 代理 接 入 方式 中 ， 传 感 器 不 能 直接 与 外 部 用 户 通 信 ， 要 经 过 代理 主机 对 接收 的 数据 进行 
中 转 。 代 理 接 入 方式 如 图 7-1 所 示 。 





数据 库 服务 器 


终端 用 户 。 ”终端 用 户 


图 7-1 代理 接 入 方式 


代理 接 入 方式 的 优点 是 安全 性 较 好 ， 利 用 PC 作 基 站 , 减少 了 协调 节点 软 硬 件 的 复杂 度 
及 能 耗 。 可 在 代理 主机 上 部 署 认证 和 授权 等 安全 技术 ， 且 保证 传感器 数据 的 完整 性 。 缺 点 
是 PC 作为 基站 ， 其 代价 、 体 积 与 能 耗 都 较 大 ， 不 便于 布置 ， 在 恶劣 环境 中 不 能 正常 工作 。 


2. 直接 接 入 方式 


直接 接 入 方式 是 指 通过 协调 节点 直接 连接 互联 网 与 传 感 网 络 ， 协 调节 点 可 通过 无 线 通 
信 模 块 与 传 感 网 络 节点 进行 无 线 通 信 ， 也 可 利用 低 功 耗 、 小 体积 的 嵌入 式 Web 服务 器 接 入 
互联 网 , 实现 传 感 网 与 互联 网 的 隔离 。 这 样 , 传 感 网 就 可 采用 更 加 适合 其 特点 的 MAC 协议 、 
路 由 协议 以 及 拓扑 控制 等 协议 ， 以 达到 网 络 能 量 有 效 性 、 网 络 规模 扩展 性 等 目标 。 

直接 接 入 方式 主要 有 以 下 几 种 。 

(1) 全 了 正方 式 : 直接 在 无 线 传 感 网 所 有 感知 节点 中 使 用 TCP/IP 协议 栈 , 使 无 线 传 感 网 
与 IPv6 网 络 之 间 通 过 统一 的 网 络 层 协议 实现 互联 。 对 于 使 用 IEEE 802.15.4 技术 的 无 线 传 感 
网 ， 全 了 正方 式 即 指 6LoWPAN 方式 ， 其 底层 使 用 IEEE 802.15.4 规定 的 物理 层 与 MAC 层 ， 
网 络 层 使 用 IPv6 协议 , 并 在 网 络 层 和 IEEE 802.15.4 之 间 增 加 适 配 层 , 用 于 对 MAC 层 接口 
进行 封装 ， 屏 蔽 MAC 层 接口 的 不 一 致 性 ,包括 进行 链 路 层 的 分 片 与 重组 、 头 部 压缩 、 网 络 
拓扑 构建 、 地 址 分 配 及 组 播 支持 等 。6LoWPAN 实现 IEEE 802.15.4 协议 与 IPv6 协议 的 适 配 
与 转换 工作 , 每 个 感知 节点 都 定义 了 微型 TCP/IPV6 协议 栈 , 来 实现 互联 网 络 节点 间 的 互联 。 
但 6LoWPAN 这 种 方式 目前 存在 很 大 争议 。 

持 赞同 观点 的 理由 是 : 通过 若干 感知 节点 连 到 IPv6 网 络 ， 是 实现 互联 最 简单 的 方式 ; 
卫 技术 的 不 断 成 熟 ， 为 其 与 无 线 传 感 网 的 融合 提供 了 方便 。 

持 反 对 观点 的 理由 是 : 因为 人 P 网 络 遵循 以 地 址 为 中 心 ， 而 传 感 网 是 以 数据 为 中 心 ， 这 
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就 使 得 无 线 传 感 网 通信 效率 比较 低 且 能 源 消耗 太 大 ; 目前 许多 以 数据 为 中 心 的 工作 机 制 都 
将 路 由 功能 放 到 了 应 用 层 或 MAC 层 实现 ， 不 设置 单独 的 网 络 层 。 

(2) 重合 方式 : 重 全 方式 是 在 IPv6 网 络 与 传 感 网 之 间 通 过 协议 承载 方式 来 实现 互联 。 
可 进一步 分 为 : IPv6 over WSN 和 “WSN over TCP/IP(Vv6) 两 种 方式 。IPV6 over WSN 的 方式 
提议 在 感知 节点 上 实现 u-IP， 此 方法 可 使 外 网 用 户 直接 控制 传 感 网 中 的 拥有 IP 地 址 的 特殊 
节点 ， 但 并 不 是 所 有 节点 都 支持 IPv6。WSN over TCP/IP (v6) 这 种 方式 将 WSN 协议 栈 部 署 
在 TCP/IP 之 上 ，IPv6 网 中 的 主机 被 看 作 是 虚拟 的 感知 节点 ， 主 机 可 直接 与 传 感 网 中 的 感知 
节点 进行 通信 ， 但 缺点 在 于 需要 主机 来 部 署 额外 的 协议 栈 。 

(3) 应 用 网 关 方式 : 应 用 网 关 这 种 方式 通过 在 网 关 应 用 层 进 行 协议 转换 来 实现 无 线 传 
感 网 与 IPv6 网 络 的 互联 , 无 线 传 感 网 与 IPv6 网 络 在 所 有 层次 的 协议 上 都 可 完全 不 同 , 这 使 
得 无 线 传 感 网 可 以 灵活 选择 通信 协议 ， 但 缺点 是 用 户 透明 度 低 ， 不 能 直接 访问 无 线 传 感 网 
中 特定 的 感知 节点 。 

与 传统 方式 相 比 ，IPv6 能 支持 更 大 的 节点 组 网 ， 但 对 传感器 节点 功 耗 、 存 储 、 处 理 器 
能 力 要 求 更 高 ， 因 而 成 本 更 高 。 并 且 ，IPv6 协议 的 流标 签 位 于 IPv6 包头 ， 容 易 被 伪造 ， 易 
产生 服务 盗用 安全 问题 。 因 此 ， 在 IPv6 中 应 用 流标 签 需 要 开发 相应 的 认证 加 密 机 制 。 同 时 
为 了 避免 在 流标 签 使 用 过 程 中 发 生 冲突 ， 还 要 增加 源 节点 的 流标 签 使 用 控制 的 机 制 ， 保 证 
在 流标 签 使 用 过 程 中 不 会 被 误 用 。 


7.1.2 ”网络 接 入 安全 


网 络 接 入 技术 最 终 要 解决 如 何 将 成 千 上 万 个 物 联网 终端 快捷 、 高 效 、 安 全 地 融入 物 联 
网 应 用 业务 体系 中 ， 这 关系 到 物 联网 终端 用 户 所 能 得 到 物 联网 服务 的 类 型 、 服 务 质量 、 资 
费 等 切身 利益 问题 ， 因 此 也 是 物 联网 未 来 建设 中 要 解决 的 一 个 重要 问题 。 

物 联网 通过 大 量 的 终端 感知 设备 实现 对 客观 世界 的 有 效 感知 和 有 力 控制 。 其 中 ， 连 接 
终端 感知 网 络 与 服务 器 的 桥梁 便 是 各 类 网 络 接 入 技术 ,包括 GSM、TD-SCDMA、WCDMA 
等 蜂窝 网 络 ，WLAN、WPAN 等 专用 无 线 网 络 以 及 Internet 等 各 种 IP 网 络 。 物 联网 网 络 接 
入 技术 主要 用 于 实现 物 联网 信息 的 双向 传递 和 控制 ， 重 点 在 于 适应 物 联网 物 物 通信 需求 的 
无 线 接 入 网 和 核心 网 的 网 络 改造 与 优化 ， 以 及 满足 低 功 耗 、 低 速率 等 物 物 通信 特点 的 网 络 
层 通信 和 组 网 技术 。 

1. 安全 接 入 要 求 


物 联 网 业务 中 存在 大 量 的 终端 设备 ， 需 要 为 这 些 终 端 设备 提供 统一 的 网 络 接 入 。 终 端 
设备 可 以 通过 相应 的 网 络 接 入 网 关 接 入 核心 网 ， 也 可 以 重 构 终端 ， 能 够 基于 软件 定义 无 线 
电 (SDR) 技 术 动态 、 智 能 地 选择 接 入 网 络 ， 再 接 入 移动 核心 网 中 。 异 构 性 是 物 联 网 无 线 接 入 
技术 的 一 大 突出 特点 ， 在 终端 技术 、 网 络 技术 和 业务 平台 技术 方面 ， 异 构 性 、 多 样 性 也 是 
一 个 非常 重要 的 趋势 。 随 着 物 联 网 应 用 的 发 展 ， 广 域 的 、 局 域 的 、 车 域 的 、 家 庭 域 的 、 个 
人 域 的 各 种 物 联 网 感知 设备 层出不穷 ， 从 太空 游 飞 的 卫星 到 植 入 身体 内 的 医疗 传感器 ， 种 
类 繁多 、 接 入 方式 各 异 的 终端 如 何 安全 、 快 捷 、 有 效 地 进行 互联 互通 及 获取 所 需 的 各 类 服 
务 ， 成 为 物 联网 发 展 研究 的 主要 问题 之 一 。 

终端 设备 安全 接 入 与 认证 是 网 络 安全 接 入 中 的 核心 技术 ， 呈 现 出 新 的 安全 需求 。 
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(1) 基于 多 种 技术 融合 的 终端 接 入 认证 技术 。 目前 , 在 主流 的 三 类 接 入 认证 技术 中 ， 网 
络 接 入 设备 上 采用 NAC 技术 ， 而 客户 端 上 则 采用 NAP 技术 ， 从 而 达到 两 者 互补 的 目的 。 
TNC 的 目标 是 解决 可 信 接 入 问题 ， 其 特点 是 只 制定 详细 规范 ， 技 术 细节 公开 ， 各 个 厂家 都 
可 以 自行 设计 并 开发 兼容 TNC 的 产品 。 从 信息 安全 的 远 期 目标 来 看 ， 在 接 入 认证 技术 领域 
中 ， 芯 片 、 操 作 系统 、 安 全 程序 、 网 络 设备 等 多 种 技术 缺 一 不 可 。 

(2) 基于 多 层 防 护 的 接 入 认证 体系 。 终 端 接 入 认证 是 网 络 安全 的 基础 ， 为 了 保证 终端 
的 安全 接 入 ， 需 要 从 多 个 层面 分 别 认 证 、 检 查 接 入 终端 的 合法 性 、 安 全 性 。 例 如 ， 通 过 网 
络 准 入 、 应 用 准 入 、 客 户 端 准 入 等 多 个 层面 的 准 入 控制 ， 强 化 各 类 终端 事前 、 事 中 、 事 后 
接 入 核心 网 络 层次 化 管理 和 防护 。 

(3) 接 入 认证 技术 标准 化 、 规 范 化 。 目 前 虽然 各 核心 设备 厂商 的 安全 接 入 认证 方案 技 
术 原 理 基本 一 致 ， 但 各 厂商 采用 的 标准 、 协 议 以 及 相关 规范 各 不 相同 。 标 准 与 规范 是 技术 
长 足 发 展 的 基石 ， 因 此 标准 化 、 规 范 化 是 接 入 认证 技术 的 必然 趋势 。 

2. 新 型 网 络 接 入 控制 技术 


目前 ， 新 型 网 络 接 入 控制 技术 将 控制 目标 转向 了 计算 机 终端 。 从 终端 着 手 ， 通 过 管理 
员 制 定 的 安全 策略 ， 对 接 入 内 部 网 络 的 计算 机 进行 安全 性 检测 ， 自 动 拒绝 不 安全 的 计算 机 
接 入 内 部 网 络 ， 直 到 这 些 计算 机 符合 服务 网 络 内 的 安全 策略 为 止 。 新 型 网 络 接 入 控制 技术 
中 效果 较 好 的 有 思科 公司 的 网 络 接 入 控制 (Network Access Control，NAC)、 微 软 公司 的 网 络 
准 入 保护 (Network Access Protection，NAP)、Juniper 公司 的 统一 接 入 控制 (Unified Access 
Control, UAC)、 可 信 计 算 组 (Trusted Computing Group, TCG) 的 可 信 网 络 连接 (Trusted Network 
Connection，TNC) 等 。 

1) NAC 

NAC 是 由 思科 公司 主导 的 产业 协同 研究 成 果 , NAC 可 以 协助 保证 每 一 个 终端 在 进入 网 
络 前 均 符 合 网 络 安全 策略 。NAC 可 以 保证 端点 设备 在 接 入 网 络 前 完全 遵循 本 地 网 络 内 需要 
的 安全 策略 ， 并 可 保证 不 符合 安全 策略 的 设备 无 法 接 入 该 网 络 以 及 设置 可 补救 的 隔离 区 供 
端点 修正 网 络 策略 ， 或 者 限制 其 可 访问 的 资源 。NAC 主要 由 以 下 3 个 部 分 组 成 。 

(1) 客户 端 软件 与 思科 可 信 代 理 。 可 信 代 理 可 以 从 多 个 安全 软件 组 成 的 客户 端 防御 体 
系 收集 安全 状态 信息 ， 如 杀毒 软件 、 信 任 关 系 等 ， 然 后 将 这 些 信 息 传送 到 相连 的 网 络 中 ， 
从 而 实施 准 入 控制 策略 。 

(2) 网 络 接 入 设备 。 网 络 接 入 设备 主要 包括 路 由 器 、 交 换 机 、 防 火 墙 及 无 线 AP 等 。 这 
些 设备 收集 终端 计算 机 请 求 信息 ， 然 后 将 信息 传送 到 策略 服务 器 ， 由 策略 服务 器 决定 是 否 
采用 授权 及 采取 什么 样 的 授权 。 网 络 将 按照 客户 定制 的 策略 实施 相应 的 准 入 控制 决策 ， 即 
允许、 拒绝 、 隔 离 或 限制 。 

(3) 策略 服务 器 。 策 略 服务 器 负责 评估 来 自 网 络 设备 的 端点 安全 信息 。 

2) NAP 

NAP 是 微软 公司 为 Windows Vista 和 Windows Longhom 设计 的 一 套 操作 系统 组 件 ， 它 
可 以 在 访问 私有 网 络 时 校 验 系统 平台 的 健康 状态 。NAP 平台 提供 了 一 套 完整 性 校 验 方法 来 
判断 接 入 网 络 的 客户 端的 健康 状态 ， 对 不 符合 健康 策略 需求 的 客户 端 限制 其 网 络 访问 权限 。 
NAP 主要 由 以 下 4 部 分 组 成 。 
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(1) 适 于 动态 主机 配置 协议 和 VPN、IPSec 的 NAP 客户 端 计 算 机 ; Windows Longhom 
Server(NAP Server)， 对 于 不 符合 当前 系统 运行 状况 要 求 的 计算 机 采取 网 络 访问 强制 受 限 ， 
同时 运行 Internet 身份 验证 服务 (IAS)， 支持 系统 策略 配置 和 NAP 客户 端的 运行 状况 验证 

(2) 策略 服务 器 。 为 IAS 提供 当前 系统 运行 情况 的 信息 ， 并 包含 可 供 NAP 客户 端 访问 
以 纠正 其 非 正常 运行 状态 所 需要 的 修补 程序 、 配 置 和 应 用 程序 。 策 略 服务 器 还 包括 防 病毒 
隔离 和 软件 更 新 服务 器 。 

(3) 证 书 服务 器 。 向 基于 IPSec 的 NAP 客户 端 颁发 运行 状况 证 书 。 

(4) 管理 服务 器 。 负 责 监 控 和 生成 管理 报告 。 

3) INC 

TNC 是 建立 在 基于 主机 的 可 信 计 算 技 术 之 上 的 ， 其 主要 目的 在 于 通过 使 用 可 信 主 机 提 
供 的 终端 技术 ， 实 现 网 络 访问 控制 的 协同 工作 。TNC 的 权限 控制 策略 采用 终端 的 完整 性 校 
验 。TNC 结合 已 存在 的 网 络 控制 策略 ， 如 802.1x、IKE 等 实现 访问 控制 功能 。 

TNC 架构 分 为 请 求 访问 者 (Access Requestor，AR)、 策 略 执 行者 (Policy Enforcement 
Point，PEP) 和 策略 定义 者 (Policy Decision Point，PDP)。 这 些 都 是 逻辑 实体 ， 可 以 分 布 在 任 
意 位置 。TNC 将 传统 “ 先 连 接 ， 后 安全 评估 ”的 接 入 方式 变 为 “ 先 安全 评估 ， 后 连接 ”， 
从 而 大 大 增强 接 入 的 安全 性 。 其 各 层 功 能 如 下 。 

(1) 网 络 访问 控制 层 。 从 属于 传统 的 网 络 连 接 和 安全 层 , 支持 现 有 的 VPN 和 802.1x 等 
技术 。 这 一 层 包括 NAR( 网 络 放弃 访问 请 求 )、PER( 策 略 执行 ) 和 NAA( 网 络 访问 授权 )2 个 
组 件 。 

(2) 完整 性 评估 层 。 这 一 层 依据 一 定 的 安全 策略 评估 AR 和 完整 性 状况 。 

(3) 完整 性 测量 层 。 这 一 层 负 责 收集 和 验证 AR 的 完整 性 信息 。 

4) UAC 

UAC 是 Juniper 公司 提出 的 统一 接 入 控制 解决 方案 ， 它 由 多 个 单元 组 成 。 

(1) Infranet 控制 器 。Infranet 控制 器 是 UAC 的 核心 组 件 ， 主 要 功能 是 将 UAC 代理 应 
用 到 用 户 的 终端 计算 机 中 ， 以 便 收 集 用 户 验证 、 端 点 安全 状态 和 设备 位 置 等 信息 ; 或 者 在 
无 代理 模式 中 收集 相同 信息 ， 并 将 此 类 信息 与 策略 相 结合 来 控制 网 络 、 资 源 和 应 用 接 入 。 
随后 ，Infranet 控制 器 在 分 配 人 P 地 址 前 ,在 网 络 边缘 通过 802.1x， 或 在 网 络 核心 通过 防火 墙 
将 这 个 策略 传递 给 UAC 执行 点 。 

(2) UAC 代理 。UAC 代理 部 署 在 客户 端 ， 允 许 动态 下 载 。UAC 代理 提供 的 主机 检查 
器 功能 允许 管理 员 扫 描 端 点 并 设置 各 种 应 用 状态 ， 包 括 但 不 限于 防 病毒 、 防 恶意 软件 和 个 
人 防火 墙 等 。UAC 代理 可 通过 预定 义 的 主机 检查 策略 以 及 防 病毒 签名 文件 的 自动 监控 功能 
来 评估 最 新 定义 文件 的 安全 状态 。UAC 代理 还 允许 执行 定制 检查 任务 ， 如 对 注册 表 和 端 
进行 检查 ， 并 可 执行 MD5 校 验 和 检查 ， 以 验证 应 用 是 否 有 效 。 

(3) UAC 执行 点 ,UAC 执行 点 包括 802.1x 交换 机 /无 线 接 入 点 , 或 者 Janiper 公司 防火 墙 。 

5) ”满足 多 网 融合 的 安全 接 入 网 关 

多 网 融合 环境 下 的 物 联网 安全 接 入 需要 一 套 比较 完整 的 系统 架构 ， 这 种 架构 可 以 是 一 
种 泛 在 网 多 层 组 织 架 构 。 底 层 是 传感器 网 络 ， 通 过 终端 安全 接 入 设备 或 物 联网 网 关 接 入 承 
载 网 络 。 物 联网 的 接 入 方式 多 种 多 样 ， 通 过 网 关 设 备 可 将 多 种 接 入 手段 整合 起 来 ， 统 一 接 
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入 到 电信 网 络 的 关键 设备 上 ， 网 关 可 以 满足 局 部 区 域 短 距离 通信 的 接 入 需求 ， 实 现 与 公共 
网 络 的 连接 ， 同 时 完成 转发 、 控 制 、 信 令 交换 和 编 解码 等 功能 ， 而 终端 管理 、 安 全 认证 等 
功能 保证 了 物 联网 的 质量 和 安全 。 物 联网 网 关 的 安全 接 入 设计 有 3 个 功能 。 

(1) 网 络 可 以 将 协议 转换 ， 同 时 可 以 实现 移动 通信 网 络 和 互联 网 之 间 的 信息 转换 。 

(2) 接 入 网 关 可 以 提供 基础 的 管理 服务 ， 对 终端 设备 提供 身份 认证 、 访 问 控制 等 安全 
管理 服务 。 

(3) 通过 统一 的 安全 接 入 网 关 ， 将 各 种 网 络 进行 互联 整合 ， 可 以 借助 安全 接 入 网 关 平 
台 迅速 开展 物 联网 业务 的 安全 应 用 。 

总 之 ， 安 全 接 入 网 关 设 计 技术 需要 研究 统一 建设 标准 、 规 范 的 物 联网 接 入 、 融 合 的 管 
理 平台 充分 利用 新 一 代 宽带 无 线 网 络 ， 建 立 全 面 的 物 联 网 网 络 安全 接 入 平台 ， 提 供 覆 盖 
广泛 、 接 入 安全 、 高 速 便捷 、 统 一 协议 栈 的 分 布 网 络 接 入 设备 。 


7.1.3 用 户 接 入 安全 


用 户 接 入 安全 主要 考虑 移动 用 户 利用 各 种 智能 移动 感知 设备 (如 智能 手机 、PDA 等 ) 通 过 
无 线 的 方式 安全 接 入 物 联 网 。 在 无 线 环境 下 ， 因 为 数据 传输 的 无 方向 性 ， 目 前 尚 无 避免 数 
据 被 截获 的 有 效 办 法 。 所 以 除了 使 用 更 加 可 靠 的 加 密 算 法 外 ， 通 过 某 种 方式 实现 信息 向 特 
定 方向 传输 也 是 一 个 思路 ， 如 利用 智能 手机 作为 载体 ， 通 过 使 用 二 维 条 码 、 图 形 码 进行 身 
份 认证 的 方法 。 

用 户 接 入 安全 涉及 多 个 方面 ， 首 先 要 对 用 户 身 份 的 合法 性 进行 确认 ， 这 就 需要 身份 认 
证 技术 ， 然 后 在 确定 用 户 身份 合法 的 基础 上 给 用 户 分 配 相应 的 权限 ， 限 制 用 户 访问 系统 资 
源 的 行为 和 权限 ， 保 证 用 户 安全 地 使 用 系统 资源 ， 同 时 在 网 络 内 部 还 需要 考虑 节点 、 用 户 
的 信任 管理 问题 。 下 面 几 节 将 对 这 些 问 题 进行 介绍 。 


7.2 信任 管理 


物 联网 是 一 个 多 网 并 存 的 异 构 融 合 网 络 。 这 些 网 络 包括 互联 网 、 传 感 网 、 移 动 网 络 和 
一 些 专用 网 络 ， 如 广播 电视 网 、 国 家 电力 专用 网 络 等 。 物 联网 使 这 些 网 络 环境 发 生 了 很 大 
的 变化 ， 遇 到 了 前 所 未 有 的 安全 挑战 ， 传 统 的 基于 密码 体系 的 安全 机 制 不 能 很 好 地 解决 某 
些 环境 下 的 安全 问题 。 例 如 ， 在 无 线 传感器 网 络 中 ， 传 统 的 基于 密码 体系 的 安全 机 制 主要 
用 于 抵抗 外 部 攻击 ， 无 法 有 效 地 解决 由 于 节点 俘获 而 发 生 的 内 部 攻击 。 而 且 ， 由 于 传感器 
网 络 节点 能 力 有 限 ， 无 法 采用 基于 对 称 密码 算法 的 安全 措施 ， 当 节点 被 俘获 时 很 容易 发 生 
秘密 信息 泄露 ， 如 果 无 法 及 时 识别 被 俘获 节点 ， 则 整个 网 络 将 被 控制 。 又 如 ， 互 联网 环境 
是 一 个 开放 的 、 公 共 可 访问 的 和 高 度 动态 的 分 布 式 网 络 环境 ， 传 统 的 针对 封闭 、 相 对 静态 
环境 的 安全 技术 和 手段 ， 尤 其 是 安全 授权 机 制 ， 如 访问 控制 列表 、 一 些 传统 的 公 钥 证 书 体 
系 等 ， 就 不 适用 于 解决 Web 安全 问题 。 

为 了 解决 这 些 问 题 ,1996 年 ,M. Blaze 等 人 首次 提出 使 用 信任 管理 ”Trust Management) 
的 概念 ， 其 思想 是 承认 开放 系统 中 安全 信息 的 不 完整 性 ， 系 统 的 安全 决策 需要 依靠 可 信 的 
第 三 方 提供 附加 的 安全 信息 。 信 任 管理 的 意义 在 于 提供 了 一 个 适合 开放 、 分 布 和 动态 特性 
网 络 环境 的 安全 决策 框架 。 信 任 管理 将 传统 安全 研究 中 ， 尤 其 是 安全 授权 机 制 研究 中 隐 含 
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的 信任 概念 抽取 出 来 ， 并 以 此 为 中 心 加 以 研究 ， 为 解决 互联 网 、 传 感 网 等 网 络 环境 中 新 的 
应 用 形式 的 安全 问题 提供 了 新 的 思路 。 

M. Blaze 等 人 将 信任 管理 定义 为 采用 一 种 统一 的 方法 描述 和 解释 安全 策略 (Security 
了 Policy)、 安 全 凭证 (Security CredentiaD) 以 及 用 于 直接 授权 关键 性 安全 操作 的 信任 关系 (Trust 
了 Relationship)。 

信任 管理 的 内 容 包 括 : 制定 安全 策略 、 获 取 安 全 赁 证、 判断 安全 凭证 集 是 否 满足 相关 
的 安全 策略 等 。 

在 一 个 典型 的 Web 服务 访问 授权 中 ， 服 务 方 的 安全 策略 形成 了 本 地 权威 的 根源 ， 服 务 
方 既 可 以 使 用 安全 策略 对 特定 的 服务 请 求 进行 直接 授权 ， 也 可 以 将 这 种 授权 委托 给 可 信任 
的 第 三 方 。 可 信任 第 三 方 则 根据 其 具有 的 领域 专业 知识 或 与 潜在 的 服务 请 求 者 之 间 的 关系 
判断 委托 请 求 ， 并 以 签发 安全 凭证 的 形式 返回 委托 请 求 方 。 最 后 ， 服 务 方 判断 收集 的 安全 
凭证 是 否 满足 本 地 安全 策略 ， 并 做 出 相应 的 安全 决策 。 为 了 使 信任 管理 能 够 独立 于 特定 的 
应 用 ，M. Blaze 等 人 还 提出 了 一 个 基于 信任 管理 引擎 (Trust Management Engine，TME) 的 信 
任 管理 模型 ， 如 图 7-2 所 示 。TME 是 整个 信任 管理 模型 的 核心 。 

















签名 请 求 
凭证 系统 “| 凭证 描述 
本 地 | ”信任 管理 引擎 ，、| “应 用 系统 
策略 啊 应 
本 地 策略 库 一 ”| 





























图 7-2 信任 管理 模型 


D. Povey 在 M. Blaze 定义 的 基础 上 ， 结 合 A. Adul-Rahman 等 人 提出 的 主观 信任 模型 思 
想 ， 给 出 了 一 个 更 具 一 般 性 的 信任 管理 定义 ， 即 信任 管理 是 信任 意向 (Trusting Intention)) 的 
获取 、 评 估 和 实施 。 授 权 委 托 和 安全 凭证 实际 上 是 一 种 信任 意向 的 具体 表现 ， 而 主观 信任 
模型 则 主要 从 信任 的 定义 出 发 ， 使 用 数学 的 方法 来 描述 信任 意向 的 获取 和 评估 。 主 观 信任 
模型 认为 ， 信 任 是 主体 对 客体 特定 行为 的 主观 可 能 性 预期 ， 取 决 于 经 验 并 随 着 客体 行为 的 
结果 变化 而 不 断 修 正 。 在 主观 信任 模型 中 ， 实 体 之 间 的 信任 关系 分 为 直接 信任 关系 和 推荐 
信任 关系 ， 分 别 用 于 描述 主体 与 客体 、 主 体 与 客体 经 验 推荐 者 之 间 的 信任 关系 。 也 就 是 说 ， 
主体 对 客体 的 经 验 既 可 以 直接 获得 ， 也 可 以 通过 推荐 者 获得 ， 而 推荐 者 提供 的 经 验 同 样 可 
以 通过 其 他 推荐 者 获得 ， 直 接 信任 关系 和 推荐 信任 关系 形成 了 一 条 从 主体 到 客体 的 信任 链 ， 
而 主体 对 客体 行为 的 主观 预期 则 取决 于 这 些 直接 的 和 间接 的 经 验 。 信 任 模 型 所 关注 的 内 容 
主要 有 信任 表述 、 信 任 度量 和 信任 度 评 估 。 信 任 度 评估 是 整个 信任 模型 的 核心 ， 因 此 信任 
模型 也 称 为 信任 度 评估 模型 。 信 任 度 评估 与 安全 策略 的 实施 相 结 合同 样 可 以 构成 一 个 一 般 
意义 上 的 信任 管理 系统 。 

从 信任 管理 模型 可 以 看 出 ， 信 任 管理 引擎 是 信任 管理 系统 的 核心 。 设 计 信任 管理 引擎 
需要 涉及 以 下 几 个 主要 问题 。 














ETEEEEEEEES | 川 川 川中 加 


(1) 描述 和 表达 安全 策略 与 安全 凭证 。 

(2) 设计 策略 一 致 性 证 明 验证 算法 。 

(3) 划分 信任 管理 引擎 和 应 用 系统 之 间 的 职能 。 

当前 几 个 典型 的 信任 管理 系统 Policy Maker、Key Note 和 REFEREE， 在 设计 和 实现 信 
任 管 理 引擎 时 采用 了 不 同 的 方法 来 处 理 上 述 问题 。 


7.2.1 信任 机 制 概述 
1. 信任 的 定义 


信任 的 研究 历史 非常 悠久 ， 是 一 种 跨 学 科 性 的 交叉 研究 ， 早 期 的 信任 理论 研究 主要 涉 
及 心理 学 、 社 会 学 、 政 治学 、 经 济 学 、 人 类 学 、 历 史 及 社会 生物 学 等 多 个 领域 。 随 着 时 代 
的 发 展 ， 它 又 融入 了 商业 管理 、 经 济 理论 、 工 程 学 、 计 算 机 科学 等 应 用 领域 。 长 期 以 来 ， 
信任 被 认为 是 一 种 依赖 关系 。 信 任 是 人 类 社会 一 切 活动 的 基石 。 

在 社会 学 的 角度 看 ，“ 信 任 ” 一 词 解释 为 “相信 而 敢于 托付 ”。 信 任 是 一 种 有 生命 的 
感觉 ， 也 是 一 种 高 尚 的 情感 ， 更 是 一 种 连接 人 与 人 之 间 关 系 的 纽带 。《 出 师表 》 里 有 “ 亲 
贤 臣 ， 远 小 人 ， 此 先 汉 所 以 兴隆 也 ; 亲 小 人 ， 远 贤 臣 ， 此 后 汉 所 以 倾 医 也 ” 这 样 一 句 话 。 
诸葛 亮 从 两 种 截然 相反 的 结果 中 为 我 们 提供 了 信任 对 象 的 品格 。 信 任 是 架设 在 人 心 的 桥梁 ， 
是 沟通 人 心 的 纽带 ， 是 震荡 感情 之 波 的 琴 弦 。 

从 现 有 文献 可 以 看 出 : 信任 与 可 预测 、 可 靠 性 、 行 为 一 致 性 、 能 力 、 义 务 、 责 任 感 、 
动机 、 专 业 技 能 、 可 信任 性 、 行 为 预期 等 概念 相关 。 

由 此 可 见 ， 信 任 的 确 是 一 个 相当 复杂 的 社会 “ 认 知 ”现象 ， 牵 扯 很 多 层面 和 维度 ， 很 
难 定量 表示 和 预测 。 每 个 人 对 “信任 ”的 理解 并 不 完全 相同 ， 下 面 是 国外 Webster 和 Oxford 
两 个 著名 词典 中 对 信任 (Trust) 的 解释 。 

Webster: Firm reliance on the integrity，ability，or character of a person or thing ( 某 人 或 
某 事 的 正直 、 能 力 或 性 格 的 坚定 依靠 )。 

Oxford: The firm belief in the reliability or truth or strength of an entity (对 一 个 主体 的 可 靠 
性 、 真 实 性 或 实力 的 坚定 信心 )。 

在 上 述 词典 中 ， 简 单 抽象 地 描述 出 了 信任 的 内 涵 。 在 计算 机 科学 中 ， 这 一 描述 显得 不 
够 确切 。 一 般 意义 上 讲 ， 大 多 数学 者 对 信任 的 理解 可 以 归纳 为 : 对 实体 在 某 方面 行为 的 依 
赖 性 、 安全 性 、 可 靠 性 等 能 力 的 坚定 依靠 。 将 这 一 理解 规范 化 , 再 参考 ITUT 推荐 标准 X.509 
规范 ， 信 任 的 定义 可 以 表述 为 : 当 实体 A 假定 实体 B 严格 地 按 A 所 期 望 的 那样 行动 , 则 A 
信任 B (Entity A trusts entity B when A assumes that B will behave exactly as A expects)。 从 这 
个 定义 可 以 看 出 ， 信 任 涉及 假设 、 期 望 和 行为 ， 这 意味 着 信任 是 很 难 定量 测量 的 ， 信 任 是 
与 风险 相 联系 的 ， 并 且 信 任 关系 的 建立 不 可 能 总 是 全 自动 的 。 

综 上 所 述 ， 虽 然 不 同 的 学 科 领 域 对 信任 的 理解 也 不 尽 相同 ， 但 是 ， 基 本 的 共识 有 以 下 
几 点 。 

(1) 信任 表征 着 一 个 实体 的 诚实 、 真 实 、 能 力 以 及 可 依赖 程度 。 

(2) 信任 建立 在 对 实体 历史 行为 认 知 的 基础 上 。 

(3) 信任 会 随 着 时 间 延 续 而 导致 对 实体 认 知 程度 下 降 而 衰减 。 

(4) 信任 是 实体 间 相 互 作用 的 依据 。 
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显然 ， 信 任 会 在 一 定 范围 内 随 着 实体 间 多 次 的 接触 而 动态 变化 。 信 任 关 系 的 建立 除了 
通过 直接 认 知 ， 获 取 知 识 进 行 决策 这 一 途径 外 ， 还 可 以 通过 间接 途径 ， 获 取 间 接 知识 (如 推 
荐 ) 来 参与 决策 。 

根据 上 面 的 分 析 ， 本 书 对 信任 定义 如 下 : 信任 表征 对 实体 身份 的 确认 和 其 本 身 行为 的 
期 望 ， 一 方面 是 对 实体 的 历史 行为 的 直接 认 知 ， 另 一 方面 是 其 他 实体 对 该 实体 的 推荐 。 信 
任 可 以 随 实体 行为 动态 变化 且 随 时 间 延 续 而 衰减 。 


2. 信任 的 性 质 


信任 存在 于 特定 的 环境 下 ， 根 据 具体 环境 的 不 同 ， 影 响 信任 的 因素 也 不 同 ， 我 们 将 这 
些 影响 信任 的 因素 称 为 信任 的 属性 。 信 任 是 其 属性 的 函数 ， 因 此 可 以 用 属性 函数 来 度量 信 
任 ， 信 任 是 随 着 其 属性 的 变换 而 变换 的 。 

根据 多 个 学 科 对 信任 的 研究 ， 可 以 总 结 出 信任 具有 以 下 一 些 基本 性 质 。 

1) “主观 性 

信任 是 一 个 实体 对 另外 一 个 实体 的 某 种 能 力 的 主观 判断 ， 而 且 不 同 的 实体 具有 不 同 的 
判断 标准 ， 往 往 都 是 建立 在 对 目标 实体 历史 交易 行为 的 评估 上 。 对 信任 的 量化 可 能 随 着 上 
下 文 环境 、 时 间 等 差异 而 对 同一 个 实体 有 着 不 同 的 信任 值 。 甚 至 在 相同 的 上 下 文 环境 和 相 
同 的 时 段 内 的 同 种 行为 ， 由 于 实体 判断 标准 的 不 同 ， 也 会 对 实体 有 不 同 的 信任 值 。 从 信任 
的 主观 性 可 以 看 出 信任 总 是 存在 于 两 个 实体 之 间 ， 是 主体 和 客体 的 二 元 关系 ， 并 且 存 在 于 
特定 上 下 文 环境 中 ， 受 到 特定 的 属性 影响 。 

2) ”动态 性 

信任 会 随 着 环境 、 时 间 的 变化 而 动态 地 演化 。 影 响 实体 间 信 任 关系 变化 的 原因 ， 既 可 
以 由 实体 自身 的 能 力 、 性 格 、 心 理 、 意 愿 、 知 识 等 内 因 变 化 所 引起 ， 也 可 以 由 实体 外 部 环 
境 的 变化 而 引起 。 由 于 信任 的 动态 性 ， 信 任 模型 往往 通过 对 不 同 的 影响 因素 的 考察 来 对 实 
体 间 的 信任 进行 调整 ， 例 如 对 恶意 违约 的 惩罚 、 随 时 间 的 衰减 等 ， 使 得 对 信任 的 度量 更 加 
符合 现实 ， 并 且 可 以 得 到 更 准确 的 结果 。 

3) “信任 的 实体 复杂 性 

信任 实体 往往 受到 多 种 因素 的 影响 ， 而 且 不 同 因素 的 影响 对 不 同 的 实体 展现 出 不 同 的 
影响 程度 ， 在 构造 信任 模型 的 时 候 往往 需要 在 多 种 影响 因素 之 间 寻 找平 衡 点 ， 赋 了 予 不 同 的 
影响 权重 ， 使 模型 的 计算 相对 有 效 。 

4) ”可 度量 性 

信任 的 度量 采用 信任 值 来 表示 ， 信 任 值 反映 了 一 个 实体 的 可 信 程 度 ， 信 任 值 可 以 是 离 
散 的 ， 也 可 以 是 连续 的 。 信 任 的 可 度量 性 是 建立 信任 模型 的 基础 ， 对 信任 值 的 度量 是 否 准 
确 决定 了 信任 系统 的 准确 性 。 

5) ”传递 性 

信任 的 一 个 特性 就 是 具有 弱 传 递 性 ， 例 如 ， 实 体 A 信任 实体 B， 实 体 B 信任 实体 C 
那么 实体 A 信任 实体 C 的 结论 不 一 定 成 立 。 但 在 一 定 的 约束 条 件 下 , 实体 A 信任 实体 C 的 
结论 是 可 能 成 立 的 。 

6) “ 非 对 称 性 

信任 受到 多 种 因素 影响 ， 不 同 实体 的 判断 标准 也 不 一 样 ， 一 般 来 说 信任 是 不 具有 对 称 
性 的 。 例 如 ， 实 体 A 信任 实体 B， 但 不 意味 着 实体 B 也 同样 信任 实体 A， 即 实体 A 对 实体 
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B 的 信任 度 与 实体 B 对 实体 A 的 信任 度 不 一 定 是 相等 的 ， 所 以 信任 一 般 是 单 向 的 。 

7) 时 间 误 减 性 

信任 随 着 时 间 的 变化 往往 有 递减 的 趋势 ， 实 体 之 间 的 信任 随时 间 的 动态 变化 导致 长 时 
间 没 有 交易 的 两 个 实体 之 问 信任 逐步 降低 。 

8) 多样 性 

信任 表现 为 主体 和 客体 之 间 的 二 元 关系 ， 但 信任 关系 可 以 是 一 对 一 、 多 对 一 、 一 对 多 
或 者 多 对 多 的 关系 ， 这 也 显示 了 信任 的 复杂 性 。 

3. 信任 的 分 类 


信任 可 以 分 为 基于 身份 的 信任 (Identity Trust) 和 基于 行为 的 信任 (Behavior Trust) 两 部 分 。 
后 者 进一步 可 以 分 为 直接 信任 (Direct Trust) 和 间接 信任 (Indirect Trust)。 间接 信任 又 可 称 为 推 
荐 或 者 声誉 (Reputation)。 

基于 身份 的 信任 采用 静态 验证 机 制 (Static Authentication Mechanism) 来 决定 是 否 给 一 个 
实体 授权 。 常 用 的 技术 包括 认证 (Authentication)、 授 权 (Authorization)、 加 密 (Encryption)、 
数据 隐藏 (Data Hiding)、 数 字 签 名 (Digital Signatures)、 公 钥 证 书 (Public Key Certificate) 以 及 
访问 控制 (Access ControD) 策 略 等 。 当 两 个 实体 A 与 B 进行 交互 时 ， 首 先 需 要 对 对 方 的 身份 
进行 验证 。 这 也 就 是 说 ， 信 任 的 首要 前 提 是 对 对 方 身份 的 确认 ， 否 则 与 虚假 、 恶 意 的 实体 
进行 交互 很 有 可 能 导致 损失 。 基 于 身份 的 信任 是 信任 研究 与 实现 的 基础 。 在 传统 安全 领域 ， 
身份 信任 问题 已 经 得 到 相对 广泛 的 研究 和 应 用 。 

基于 行为 的 信任 通过 实体 的 行为 历史 记录 和 当前 行为 特征 来 动态 判断 实体 的 可 信任 
度 ， 根 据 信 任 度 大 小 给 出 访问 权限 。 基 于 行为 的 信任 针对 两 个 或 者 多 个 实体 之 间 交 互 时 ， 
某 一 实体 对 其 他 实体 在 交互 中 的 历史 行为 所 做 出 的 评价 ， 也 是 对 实体 所 生成 的 能 力 可 靠 性 
的 确认 。 在 实体 安全 性 验证 的 时 候 ， 采 用 行为 信任 往往 比 一 个 身份 或 者 是 授权 更 具有 不 可 
抵赖 性 和 权威 性 ， 也 更 加 贴 合 社会 实践 中 的 信任 模式 ， 因 而 更 加 贴近 现实 生活 。 


7.2.2 ”信任 的 表示 方法 

在 信任 机 制 的 研究 中 ， 需 要 使 用 数学 方法 将 节点 的 可 信 度 以 及 信誉 值 表 示 出 来 ， 以 便 
在 信任 计算 的 时 候 使 用 。 下 面 介绍 一 些 在 信任 机 制 研究 中 典型 的 信任 表示 方法 。 

1. 离散 表示 方法 


离散 表示 方法 可 以 使 用 值 1 和 -1 分 别 表 示 信 任 和 不 信任 , 从 而 构成 最 简单 的 信任 表示 。 
也 可 以 用 多 个 离散 值 表示 信任 的 状况 ， 例 如 把 信任 状况 分 为 四 个 等 级 ，vt、t、 ut、vut， 分 
别 表示 非常 可 信 、 可 信 、 不 可 信 、 非 常 不 可 信 ， 有 具体 含义 如 表 7-1 所 示 。 


表 7-1 信任 等 级 及 其 含义 


























信任 等 级 FE 
vt | 非常 可 和信， 服务 质量 非常 好 且 总 是 响应 及 时 





可 信 ， 服 务 质量 尚 可 ， 偶 有 响应 迟缓 或 小 错误 发 生 
不 可 信 ， 服 务 质 量 较 差 ， 总 是 出 现 错误 


非常 不 可 信 ， 拒 绝 服务 或 提供 的 服务 总 是 恶意 的 
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2. 概率 表示 方法 


在 概率 信任 模型 中 ， 主 体 间 的 信任 度 可 用 概率 值 来 表示 。 主 体 i 对 主体 j 的 信任 度 定义 
为 aie[o.1]，a5 的 值 越 大 表示 主体 i 对 主体 j 的 信任 度 越 高 ，“0” 表 示 完 全 不 信任 ， 而 “1 
“表示 完全 信任 。 概 率 信任 值 表示 方法 一 方面 表示 了 主体 间 的 信任 度 ， 另 一 方面 表示 了 主 
体 之 间 不 信任 的 程度 。 主 体 之 间 的 信任 概率 可 以 理解 为 主体 之 间 是 否 选择 对 方 为 交易 对 象 
的 概率 ， 信 任 概率 低 并 不 表示 没有 主体 与 之 交易 。 

概率 表示 方法 的 优点 是 有 很 多 与 概率 相关 的 推理 方法 可 以 用 于 计算 主体 之 间 的 信任 
度 。 缺点 是 许多 概率 推理 方法 对 一 般 用 户 来 说 ， 理 解 上 有 一 定 难度 。 另 外 ， 该 表示 方法 把 
信任 的 主观 性 和 不 确定 性 等 同 于 随机 性 。 

3. 信念 表示 方法 


信念 理论 和 概率 论 类 似 ， 差 别 在 于 所 有 可 能 出 现 结果 的 概率 之 和 不 一 定 等 于 1。 信念 理 
论 保留 了 概率 论 中 隐 含 的 不 确定 性 ， 因 为 基于 信念 模型 的 信任 系统 在 信任 度 的 推理 方法 上 
类 似 于 概率 论 的 信任 度 推理 方法 。 

4. 模糊 表示 方法 

信任 本 身 就 是 一 个 模糊 的 概念 ， 所 以 有 学 者 用 模糊 理论 来 研究 主体 的 可 信 度 。 隶 属 度 
可 以 看 成 是 主体 隶属 于 可 信任 集合 的 程度 。 模 糊 化 评价 数据 以 后 ， 信 任 系统 利用 模糊 规则 
等 模糊 数据 ， 推 测 主体 的 可 信 度 。 
因为 这 些 模 糊 信任 集合 之 间 并 不 是 非 彼 即 此 的 排他 关系 ， 很 难说 某 个 主体 究竟 属于 哪 
个 集合 。 在 此 情况 下 ， 用 主体 对 各 个 模糊 集 Ti 的 隶属 度 组 成 的 向 量 描述 主体 的 可 信 程 度 更 
具有 合理 性 。 如 主体 X 的 信任 度 可 以 用 向 量 v={vo,visv2,…,Va} 表 示 ， 其 中 vi 表 x 对 Ti 的 隶 
属 度 。 

5. 灰色 表示 方法 

灰色 模型 和 模糊 模型 都 可 以 描述 不 确定 信息 ， 但 灰色 系统 相对 于 模糊 系统 来 说 ， 可 用 
于 解决 统计 数据 少 、 信 息 不 完全 系统 的 建 模 与 分 析 。 目 前 已 有 文献 用 灰色 系统 理论 解决 分 
布 系统 中 的 信任 推理 。 在 灰色 模型 中 , 主体 之 间 的 信任 关系 用 灰 类 描述 。 如 聚 类 实体 集 D={di， 
dz, dj}， 灰 类 集 G={gi, g. g3}，g1，g2，g 分 别 依 次 表示 信任 度 高 、 一 般 、 低 。 主 体 间 的 评 
价 用 一 个 灰 数 表示 ， 这 些 评价 经 过 灰色 推理 以 后 ， 就 得 到 一 个 聚 类 实体 关于 灰 类 集 的 聚 类 
向 量 ， 如 (0.324, 0.233, 0.800 )， 根 据 聚 类 分 析 认 为 实体 属于 灰 类 ， 表 示 其 可 信 度 低 。 

6. 云 模型 表示 方法 

云 模型 是 李 德 妆 院士 于 1995 年 在 模糊 集 理论 中 隶属 函数 的 基础 上 提出 的 ， 通 常 被 用 来 
描述 不 确定 性 的 概念 。 云 模型 可 以 看 作 是 模糊 模型 的 泛 化 ， 云 由 许多 云 滴 组 成 。 主 体 间 的 
信任 关系 用 信任 云 描述 。 信 任 云 是 一 个 三 元 组 (Ex、Ea, HaJ， 其 中 Ex 描述 主体 间 的 信任 度 ; 
了 是 信任 度 的 焙 ， 描 述 信任 度 的 不 确定 性 ; Hxs 是 信任 度 的 超 商 ， 描 述 Eu 的 不 确定 性 。 信 任 
云 能 够 描述 信任 的 不 确定 性 和 模糊 性 。 
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7.2.3 “信任 的 计算 


任何 实体 间 的 信任 关系 均 与 一 个 度量 值 相关 联 。 信 任 能 用 与 信息 或 知识 相似 的 方式 度 
量 ， 信 任 度 是 信任 程度 的 定量 表示 ， 它 是 用 来 度量 信任 大 小 的 。 信 任 度 可 以 用 直接 信任 度 
和 反馈 信任 度 来 综合 衡量 ， 直 接 信任 度 源 于 其 他 实体 的 直接 接触 ， 反 馈 信任 度 则 是 一 种 口 
头 传播 的 名 望 。 

信任 度 (Trust Degree，TD) 是 信任 的 定量 表示 , 信任 度 可 以 根据 历史 交互 经 验 推理 得 到 ， 
它 反映 的 是 主体 (Trustor， 也 叫 作 源 实体 ) 对 客体 (Trustee， 也 叫 作 目标 实体 ) 的 能 力 、 诚 实 度 、 
可 靠 度 的 认识 ， 对 目标 实体 未 来 行为 的 判断 。TD 可 以 称 为 信任 程度 、 信 任 值 、 信 任 级 别 、 
可 信 度 等 。 

直接 信任 度 (Direct Trust Degree, DTD) 是 指 通过 实体 之 间 的 直接 交互 经 验 得 到 的 信任 关 
系 的 度量 值 。 直 接 信任 度 建立 在 源 实体 对 目标 实体 经 验 的 基础 上 ， 随 着 双方 交互 的 不 断 深 
入 ，Trustor 对 Trustee 的 信任 关系 更 加 明晰 。 相 对 于 其 他 来 源 的 信任 关系 ， 源 实体 会 更 倾向 
于 根据 直接 经 验 来 对 目标 实体 做 出 信任 评价 。 

反馈 信任 度 (Feedback Trust Degree， FTD) 表 示 实 体 间 通 过 第 三 者 的 间接 推荐 形成 的 信 
任 度 ， 也 叫 声誉 (Reputation)、 推 荐 信任 度 、 间 接 信任 度 (Indirect Trust Degree，ITD) 等 。 反 
馈 信 任 建立 在 中 间 推 荐 实体 的 推荐 信息 基础 上 ， 根 据 Trustor 对 这 些 推荐 实体 信任 程度 的 不 
同 ， 会 对 推荐 信任 有 不 同 程度 的 取舍 。 但 是 由 于 中 间 推 荐 实体 的 不 稳定 性 ， 或 者 有 伪装 的 
恶意 推荐 实体 的 存在 ， 使 反馈 信任 度 的 可 靠 性 难以 度量 。 

总 体 信 任 度 (Overall Trust Degree，OTD)， 也 叫 作 综合 信任 度 或 者 全 局 信任 度 。 信 任 关 
系 的 评价 ， 就 是 Trustor 根据 直接 交互 得 到 对 目标 实体 的 直接 信任 关系 ， 以 及 根据 反馈 得 到 
目标 实体 的 推荐 信任 关系 ， 这 两 种 信任 关系 的 合成 即 得 到 了 对 目标 实体 的 综合 信任 评价 。 

目前 ， 信 任 模型 在 获取 总 体 信 任 度 时 大 多 采用 直接 信任 度 与 反馈 信任 度 加 权 平 均 的 方 
式 进行 聚合 计算 的 : 














T (Pi P)-WixTp(Pi, P)+W2xTA(Pi, P) (5-1) 

式 中 ，ZT(P;，PP) 是 总 体 信任 度 ，Tp (Pi，PP) 是 直接 信任 度 ，TA(P;， 户 ) 是 反馈 信任 度 ，WW 和 
砚 分 别 为 直接 信任 度 与 反馈 信任 度 的 分 类 权重 。 

除 此 之 外 ， 目 前 文献 中 常见 到 的 计算 方法 还 有 : 加 权 平 均 法 、 极 大 似 然 法 、 贝 叶 斯 方 
法 、 模 糊 推 理 方法 及 灰色 系统 方法 。 

1) ”加 权 平 均 法 

目前 大 多 数 信任 机 制 采用 该 方法 ， 该 方法 借鉴 了 社会 网 络 中 人 与 人 之 间 的 信任 评价 方法 。 

2)” 极 大 似 然 法 

极 大 似 然 估计 方法 (Maximum Likelihood Estimation，MLE) 是 一 种 基于 概率 的 信任 推理 
方法 ， 主 要 适用 于 概率 模型 和 信念 模型 。 在 信任 的 概率 分 布 是 已 知 而 概率 分 布 的 参数 是 未 
知 的 情况 下 ，MLE 根据 得 到 的 交易 结果 推测 这 些 未 知 的 参数 ， 推 测 出 的 参数 使 得 出 现 这 些 
结果 的 可 能 性 最 大 。 

3) ” 贝 叶 斯 方法 

贝 叶 斯 (Bayesian) 方 法 是 一 种 基于 结果 的 后 验 概率 (Posterior Probability) 估 计 ， 适 用 于 概 
率 模型 和 信念 模型 。 与 MLE 不 同 之 处 在 于 , 它 首先 为 待 推测 的 参数 指定 先 验 概率 分 布 (Prior 
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Probability)， 然 后 根据 交易 结果 ， 利 用 贝 叶 斯 规则 (Bayes Rule) 推 测 参数 的 后 验 概 率 。 根 据 
对 交易 评价 可 能 出 现 的 结果 个 数 不 同 ， 为 待 推测 参数 指定 先 验 概率 分 布 为 Beta 分 布 或 
Dirichlet 分 布 ， 其 中 Beta 分 布 仅 适 合 于 二 元 评价 结果 的 情况 ， 是 Dirichlet 分 布 的 一 种 特殊 
形式 。 

4) ”模糊 推理 方法 

模糊 推理 方法 主要 适用 于 模糊 信任 模型 。 图 7-3 是 模糊 推理 的 一 个 通用 框架 , 模糊 推理 
分 为 3 个 过 程 ， 即 模糊 化 、 模 糊 推 理 以 及 反 模糊 化 。 


模糊 推理 规则 库 


信任 交 价 数据 | 。 模糊 化 | 模糊 推理 上 一 - 反 模 村 化 ”| 合作 全 


图 7-3 ”模糊 推理 基本 框架 


模糊 化 过 程 把 评价 数据 借助 素 属 度 函数 进行 综合 评价 ， 归 类 到 模糊 集合 中 。 模 糊 推 理 
根据 模糊 规则 推理 主体 之 间 的 信任 关系 或 者 主体 的 可 信任 度 隶 属 的 模糊 集合 。 

通过 形式 化 推理 规则 、 反 模糊 化 推理 结果 就 可 以 得 到 主体 的 可 信任 度 。 

5) 灰色 系统 方法 

灰色 系统 理论 是 我 国学 者 邓 聚 龙 首先 提出 来 的 用 于 研究 参数 不 完备 系统 的 控制 与 决策 
问题 的 理论 ， 并 在 许多 行业 得 到 广泛 应 用 。 有 人 提出 了 一 种 基于 灰色 系统 理论 的 信誉 报告 
机 制 ， 但 目前 基于 灰色 系统 理论 的 信任 机 制 研究 并 不 多 。 基 于 灰色 系统 理论 的 推理 过 程 如 
图 7-4 所 示 。 
































计算 权重 矩阵 
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灰色 聚 类 分 析 
图 7-4 灰色 系统 理论 的 推理 过 程 


在 灰色 推理 过 程 中 ,首先 利用 灰色 关联 分 析 (Grey Relational Analysis) 分 析 评 价 结果 ,得 
到 灰色 关联 度 (Grey Relational Degree)， 即 评价 向 量 ， 如 果 评 价 涉及 多 个 关键 属性 (比如 文件 
共享 系统 中 ， 对 一 个 主体 的 评价 可 能 涉及 下 载 文件 的 质量 、 下 载 速 度 等 属性 )， 确 定 属性 之 
间 的 权重 关系 ;利用 白化 函数 和 评价 向 量 计算 白化 和 矩阵; 由 白化 矩阵 和 权重 矩阵 计算 聚 类 
向 量 ， 聚 类 向 量 反 映 了 主体 与 灰 类 集 (Grey Level Seb 中 每 个 灰 类 (Grey Level) 的 关系 ; 对 聚 类 
向 量 进 行 聚 类 分 析 ， 就 可 以 得 到 主体 所 属 的 灰 类 。 


7.2.4 信任 评估 
在 主观 信任 模型 中 ， 实 体 之 间 的 信任 关系 分 为 直接 信任 关系 和 推荐 信任 关系 ， 分 别 用 
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信任 评价 数据 
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于 描述 主体 与 客体 、 主 体 与 客体 经 验 推荐 者 之 间 的 信任 关系 。 即 主体 对 客体 的 经 验 既 可 以 
直接 获得 ， 又 可 以 通过 推荐 者 获得 ， 而 推荐 者 提供 的 经 验 同 样 可 以 通过 其 他 推荐 者 获得 ， 
直接 信任 关系 和 推荐 信任 关系 形成 了 一 条 从 主体 到 客体 的 信任 链 ， 而 主体 对 客体 行为 的 主 
观 预期 则 取决 于 这 些 直接 的 和 间接 的 经 验 。 信 任 模型 所 关注 的 内 容 主 要 有 信任 表述 、 信 任 
度量 和 信任 度 评估 。 信 任 度 评估 是 整个 信任 模型 的 核心 ， 因 此 信任 模型 也 称 信任 度 评估 
模型 。 
几 个 相关 概念 如 下 。 
(1) 信任 (Trusb 是 一 种 建立 在 已 有 知识 上 的 主观 判断 ， 是 主体 A 根据 所 处 环境 ， 对 主 
体 B 能 够 按照 主体 A 的 意愿 提供 特定 服务 (或 者 执行 特定 动作 ) 的 度量 。 
(2) 直接 信任 度 (Direct Trusb 是 指 主体 A 根据 与 主体 B 的 直接 交易 历史 记录 ,而 得 出 的 
对 主体 B 的 信任 。 
(3) 推荐 信任 (Recommendation Trust) 是 主体 间 根 据 第 三 方 的 推荐 而 形成 的 信任 ， 也 称 
为 间接 信任 。 
(4) 信任 度 (Trust Degree) 是 信任 的 定量 表示 ， 也 可 称 可 信 度 。 


7.3 身份 认证 


7.3.1 身份 认证 的 概念 


身份 认证 是 指 用 户 身份 的 确认 技术 ， 它 是 物 联网 信息 安全 的 第 一 道 防线 ， 也 是 最 重要 
的 一 道 防线 。 身 份 认证 可 以 实现 物 联网 终端 用 户 安全 接 入 物 联网 中 ， 使 用 户 合理 地 使 用 各 
种 资源 。 身 份 认证 要 求 参与 安全 通信 的 双方 在 进行 安全 通信 前 ， 必 须 互 相 鉴别 对 方 的 身份 。 
在 物 联网 应 用 系统 中 ， 身 份 认证 技术 要 能 够 密切 结合 物 联网 信息 传送 的 业务 流程 ， 阻 止 对 
重要 资源 的 非法 访问 。 身 份 认证 技术 可 以 用 于 解决 访问 者 的 物理 身份 和 数字 身份 的 一 致 性 
问题 ， 给 其 他 安全 技术 提供 权限 管理 的 依据 。 可 以 说 ， 身 份 认证 是 整个 物 联网 应 用 层 信 息 
安全 体系 的 基础 。 


1. 基本 认证 技术 


传统 的 身份 认证 有 如 下 两 种 方式 。 

(1) 基于 用 户 所 拥有 的 标识 身份 的 持 有 物 的 身份 认证 。 持 有 物 如 身份 证 、 智 能 卡 、 钥 
匙 、 银 行 卡 (储蓄 卡 和 信用 卡 )、 驾 驶 证 、 护 照 等 ， 这 种 身份 认证 方式 称 为 基于 标识 物 (Token) 
的 身份 认证 。 

(2) 基于 用 户 所 拥有 的 特定 知识 的 身份 认证 。 特定 知识 可 以 是 密码 、 用 户 名 、 卡号、 上 蜡 














语 等 。 
为 了 增强 认证 系统 的 安全 性 ， 可 将 以 上 的 两 种 身份 认证 方式 结合 ， 实 现 对 用 户 的 双 因 
子 认证 , 如 银行 的 ATM 系统 就 是 一 种 双 因子 认证 方式 , 即 用 户 提供 正确 的 “银行 卡 + 密 码 ”。 
显然 ， 传 统 的 两 种 身份 认证 方式 存在 很 多 缺点 ， 如 表 7-2 所 示 。 
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表 7-2 传统 身份 认证 的 缺点 








认证 方式 缺 点 
基于 标识 物 的 身份 认证 携带 不 方便 ， 易 丢失 ;， 易 伪造 ， 易 遭受 假冒 攻击 
密码 难 记忆 ， 短 密码 容易 记忆 但 易于 和 可 b 号 
基于 特定 知识 的 身份 认证 长 密码 难 记 必 密码 容易 记忆 但 易于 被 猜 出 ;攻击 者 可 以 窃取 账号 和 


口令 ;易于 遭受 假冒 攻击 


在 身份 认证 的 基础 上 ， 基 本 的 认证 技术 有 双方 认证 和 可 信 第 三 方 认证 两 类 。 

(1) 双方 认证 。 双 方 认 证 是 一 种 双方 相互 认证 的 方式 ， 双 方 都 提供 ID 和 密码 给 对 方 ， 
才能 通过 认证 。 这 种 认证 方式 不 同 于 单 向 认证 的 是 客户 端 , 还 需要 认证 服务 器 的 身份 , 但 这 
样 客户 端 必须 维护 各 服务 器 所 对 应 的 ID 和 密码 。 

(2) 可 信 第 三 方 认 证 。 可 信 第 三 方 认证 也 是 一 种 通信 双方 相互 认证 的 方式 ， 但 是 认证 
过 程 必须 借助 于 一 个 双方 都 能 信任 的 可 信 第 三 方 ， 一 般 而 言 可 以 是 政府 的 法 院 或 其 他 可 供 
信赖 的 机 构 。 当 双方 欲 进行 通信 时 ， 彼 此 必须 先 通过 可 信 第 三 方 的 认证 ， 然 后 才能 相互 交 
换 密 钥 ， 再 进行 通信 ， 如 图 7-5 所 示 。 由 这 种 借助 可 信 第 三 方 的 认证 方式 变化 而 来 的 认证 协 
议 相当 多 ， 其 中 典型 的 例子 就 是 Kerberos 认证 协议 。 




















客户 端 认证 服务 器 


图 7-5 第 三 方 认证 方式 


认证 必须 和 标识 符 共 同 起 作用 。 认 证 过 程 首先 需要 输入 账户 名 、 用 户 标识 或 者 注册 标 
识 ， 告 诉 主机 是 谁 。 账 户 名 应 该 是 秘密 的 ， 任 何其 他 的 用 户 不 能 拥有 它 。 但 为 了 防止 因 账 
户 名 或 ID 泄露 而 出 现 非法 用 户 访问 系统 资源 的 问题 ， 需 要 进一步 使 用 认证 技术 证 实用 户 的 
合法 身份 。 口 令 是 一 种 简单 易 行 的 认证 手段 ， 但 是 比较 脆弱 ， 容 易 被 非法 用 户 利用 。 生 物 
技术 则 是 一 种 非常 严格 且 前 景 广阔 的 认证 方法 ， 如 利用 指纹 、 视 网 膜 等 已 被 广泛 采用 。 

2. 基于 PKI/WPKI 轻 量 级 认证 技术 

物 联 网 应 用 的 一 个 重要 特点 是 能 够 提供 丰富 的 M2M 数据 业务 ，M2M 数据 业务 的 应 用 
具有 一 定 的 安全 需求 ， 一 些 特殊 业务 需要 很 高 的 安全 保密 级 别 。 充 分 利用 现 有 互联 网 和 移 
动 网 络 的 技术 和 设施 ， 是 物 联 网 应 用 快速 发 展 和 建设 的 重要 方向 。 随 着 多 网 融合 下 物 联网 
应 用 的 不 断 发 展 ， 为 大 量 的 终端 设备 提供 轻 量 级 的 认证 技术 和 访问 控制 应 用 是 保证 物 联网 
接 入 安全 的 必然 需求 。 

PKI ( 公 钥 基础 设施 ) 是 一 个 用 公 钥 技术 来 实施 和 提供 安全 服务 的 、 具 有 普 适 性 的 安全 基 
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础 设施 。PKI 技术 采用 证 书 管理 公 钥 ， 通 过 第 三 方 可 信 机 构 (如 认证 中 心 ) 把 用 户 的 其 他 标识 
信息 (设备 编号 、 身 份 证 号 、 名 称 等 ) 捆 绑 在 一 起 ， 来 验证 用 户 的 身份 (Wireless PKI，WPKD 
是 为 了 满足 无 线 通信 的 安全 需求 而 发 展 起 来 的 公 钥 基础 设施 。 WPKI 可 用 于 包括 移动 终端 在 
内 的 无 线 终端 为 用 户 提供 身份 认证 、 访 问 控制 和 授权 、 传 输 保密 、 资 料 完整 性 、 不 可 否认 
性 等 安全 服务 。 

基于 PKIWPKI 轻 量 级 认证 技术 的 研究 目标 是 研究 以 PKIWPKI 为 基础 , 开展 物 联 网 应 
用 系统 轻 量 级 鉴别 认证 、 访 问 控制 的 体系 研究 ， 提 出 物 联网 应 用 系统 的 轻 量 级 鉴别 任务 和 
访问 控制 架构 及 解决 方案 ， 实 现 对 终端 设备 接 入 认证 、 异 构 网 络 互联 的 身份 认证 及 应 用 的 
细 粒 度 访问 控制 。 

基于 PKIWPKI 轻 量 级 认证 技术 研究 包括 以 下 几 方 面 。 

1) ” 物 联 网 安全 认证 体系 

重点 研究 在 物 联 网 应 用 系统 中 ， 如 何 基于 PKIWPKI 系统 实现 终端 设备 和 网 络 之 间 的 
双向 认证 ， 研 究 保 证 PKIWPKI 能 够 向 终端 设备 安全 发 放 设备 证 书 的 方式 。 

2) ”终端 身份 安全 存储 

重点 研究 终端 身份 信息 在 终端 设备 中 的 安全 存储 方式 以 及 终端 身份 信息 的 保护 。 重 点 
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动 网 络 等 核心 网 之 间 的 认证 分 别 采用 PKI 或 WPKI 颁发 的 证 书 进行 认证 ， 对 于 异 构 网 络 之 
间 在 进行 通信 之 前 也 需要 进行 双向 认证 , 从 而 保证 只 有 持 有 信任 的 CA 机 构 颁发 的 合法 证 书 
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口令 、 用 户 所 拥有 的 东西 (如 令 牌 、 智 能 卡 等 )、 用 户 所 具有 的 生物 特征 (如 指纹 、 虹 膜 、 动 
态 签名 等 )。 在 对 身份 认证 安全 性 要 求 较 高 的 情况 下 ， 通 常会 选择 以 上 因素 中 的 两 种 ， 从 而 
构成 “ 双 因 素 认 证 ”。 目 前 比较 常见 的 身份 认证 方式 是 用 户口 令 ， 其 他 还 有 智能 卡 、 动 态 
令 牌 、USB Key、 短 信和 密码 和 生物 识别 技术 及 零 知 识 身份 认证 等 。 在 物 联 网 中 ， 也 将 会 综合 
运用 这 些 身份 认证 技术 ， 特 别 是 生物 识别 技术 和 零 知识 身份 认证 技术 。 

通常 的 身份 证 明 需 要 用 户 提供 用 户 名 和 口令 等 识别 用 户 的 身份 信息 ， 而 零 知识 身份 认 
证 技术 不 需要 这 些 信息 也 能 够 识别 用 户 的 身份 。 零 知识 身份 认证 技术 的 思想 是 ， 有 两 方 ， 
认证 方 V 和 被 认证 方 P, P 掌握 了 某 些 秘密 信息 , P 想方设法 让 V 相信 他 确实 掌握 了 那些 信 
息 ， 但 又 不 想 让 V 知道 他 掌握 了 哪些 信息 。P 掌握 的 秘密 信息 可 以 是 某 些 长 期 没有 解决 的 
猜想 问题 的 证 明 (如 费 马 最 后 定理 、 图 的 三 色 问 题 )， 也 可 以 是 缺乏 有 效 算法 的 难题 解法 (如 
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大 数 因 式 分 解 等 )， 信 息 的 本 质 是 可 以 验证 的 ， 即 可 以 通过 具体 的 步骤 检验 它 的 正确 性 。 

6) ” 非 对 称 密 钥 认 证 

非 对 称 加 密 算 法 的 认证 要 求 认证 双方 的 个 人 秘密 信息 (如 口令 ) 不 用 在 网 络 上 传送 , 减少 
了 认证 的 风险 。 这 种 认证 方式 通过 请 求 认证 者 和 认证 者 之 间 对 一 个 随机 数 作 数字 签名 与 验 
证 数字 签名 的 方法 来 实现 。 

认证 一 旦 通过 , 双方 即 建立 安全 通信 通道 进行 通信 , 在 每 一 次 的 请 求 和 响应 中 进行 ， 即 
接收 信息 的 一 方 先 从 接收 到 的 信息 中 验证 发 信人 的 身份 信息 ， 验 证 通过 后 才 根 据 发 来 的 信 
息 进 行 相应 的 处 理 ， 用 于 实现 数字 签名 和 验证 数字 签名 的 密 钥 对 必须 与 进行 认证 的 一 方 唯 
一 对 应 。 


7.3.2 用 户口 令 


用 户口 令 是 最 简单 易 行 的 认证 手段 ， 但 易于 被 猜 出 来 ， 比 较 脆弱 。 口 令 认证 必须 和 用 
户 标识 ID 结合 起 来 使 用 ， 而 且 用 户 标 识 ID 必须 在 认证 的 用 户 数据 库 中 是 唯一 的 。 为 了 保 
证 口令 认证 的 有 效 性 ， 还 需 考虑 以 下 几 个 问题 。 

(1) 请 求 认 证 者 的 口令 必须 是 安全 的 。 

(2) 在 传输 过 程 中 ， 口 令 不 能 被 窃 看 、 蔡 换 。 

(3) 请 求 认 证 者 请 求 认证 前 ， 必 须 确 认 认证 者 的 真实 身份 ， 否 则 会 把 口令 发 给 假冒 的 
认证 者 。 

口令 认证 最 大 的 安全 隐患 是 系统 管理 员 通常 能 得 到 所 有 用 户 的 口令 。 因 此 ， 为 了 避免 
这 样 的 安全 隐患 ， 通 常情 况 下 会 在 数据 库 中 保存 口令 的 散 列 值 ， 通 过 验证 散 列 值 的 方法 来 
认证 身份 。 

1. 口令 认证 协议 

口令 认证 协议 (PAP) 是 一 种 简单 的 明文 验证 方式 。 网 络 接 入 服务 器 (Network Access 
Server，NAS) 要 求 提供 用 户 名 和 口令 ，PAP 以 明文 方式 返回 用 户 信 息 。 显 然 ， 这 种 认证 方 
式 的 安全 性 较 差 ， 第 三 方 可 以 很 容易 获取 到 传送 的 用 户 名 和 口令 ， 并 利用 这 些 信息 与 NSA 
建立 连接 ， 获 取 NAS 提供 的 所 有 资源 。 所 以 ， 一 旦 用 户 密码 被 第 三 方 窃取 ，PAP 将 无 法 提 
供 避 免 受到 第 三 方 攻击 的 保障 措施 。 


2. 一 次 性 口令 机 制 


传统 的 身份 认证 机 制 建立 在 静态 口令 识别 的 基础 上 ， 这 种 以 静态 口令 为 基础 的 身份 认 
证 方式 存在 多 种 口令 被 窃取 的 隐患 。 

(1) 网 络 数据 流 窃听 (SniffeD: 很 多 通过 网 络 传输 的 认证 信息 是 未 经 加 密 的 明文 (如 
FTP、Telnet 等 )， 容 易 被 攻击 者 通过 窃听 网 络 数据 分 辨 出 认证 数据 ， 并 提取 用 户 名 和 口令 。 

(2) 认证 信息 截取 / 重 放 (Recorder/Replay): 简单 加 密 后 进行 传输 的 认证 信息 ， 攻 击 者 仍 
然 会 使 用 截取 / 重 放 攻 击 推算 出 用 户 名 和 口令 。 

(3) 字典 攻击 : 以 有 意义 的 单词 或 数字 作为 密码 ， 攻 击 者 会 使 用 字典 中 的 单词 来 尝试 
用 户 的 口令 。 

(4) 穷 举 尝试 (Brute Force): 又 称 蛮 力 攻击 ， 是 一 种 特殊 的 字典 攻击 ， 它 使 用 字符 串 的 
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全 集 作 为 字典 尝试 用 户 的 口令 ， 如 果 用 户 的 口令 较 短 ， 很 容易 被 穷 举 出 来 。 

为 了 解决 静态 口令 问题 ，20 世纪 80 年 代 初 ，Leslie Lamport 首次 提出 利用 散 列 函数 产 
生 一 次 性 口令 的 思想 ， 即 用 户 每 次 同 服务 器 连接 过 程 中 使 用 的 口令 在 网 上 传输 时 都 是 加 密 
的 密 文 ， 而 且 这 些 密 文 在 每 次 连接 时 都 是 不 同 的 ， 也 就 是 说 ， 口 令 明文 是 一 次 有 效 的 。 当 
一 个 用 户 在 服务 器 上 首次 注册 时 ， 系 统 给 用 户 分 配 一 个 种 子 值 (Seed) 和 一 个 迭代 值 
(Iteration)， 这 两 个 值 就 构成 了 一 个 原始 口令 ， 同 时 在 服务 器 端 还 保留 有 仅 用 户 自己 知道 的 
通信 短语 。 当 用 户 每 次 向 服务 器 发 出 连接 请 求 时 ， 服 务 器 把 用 户 的 原始 口令 传 给 用 户 。 用 
户 接 到 原始 口令 后 ， 利 用 口令 生成 程序 ， 采 用 散 列 算法 (如 MD5)， 结 合 通信 短语 计算 出 本 
次 连接 实际 使 用 的 口令 ， 然 后 再 把 口令 传 回 给 服务 器 ; 服务 器 先 保存 用 户 传 来 的 口令 ， 然 
后 调用 口令 生成 器 , 采用 同一 散 列 算法 (MD5), 利用 用 户 保 存在 服务 器 端的 通信 短信 和 它 刚 
刚 传 给 用 户 的 原始 口令 自行 计算 生成 一 个 口令 。 服 务 器 把 这 个 口令 和 用 户 传 来 的 口令 进行 
比较 , 进而 对 用 户 的 身份 进行 确认 ; 每 一 次 身份 认证 成 功 后 , 原始 口令 中 的 迭代 值 自动 减 1。 
该 机 制 由 于 每 次 登录 时 的 口令 是 随机 变化 的 ， 每 个 口令 只 能 使 用 一 次 ， 彻 底 防止 了 前 面 提 
到 的 窃听 、 重 放 、 假 冒 、 猜 测 等 攻击 方式 。 


7.3.3 介质 


基于 介质 的 身份 认证 (如 USB Key、 手 机 等 ) 以 其 具有 的 安全 可 靠 、 便 于 携带 、 使 用 方便 
等 诸多 优点 ， 已 被 广大 用 户 所 使 用 。 


1. 基于 智能 卡 的 身份 认证 


智能 卡 是 IC 卡 的 一 种 ， 它 是 一 种 内 含 集成 电路 芯片 的 塑料 片 ， 本 身 具 有 一 定 的 存储 能 
力 和 计算 能 力 ， 可 以 以 适当 的 方式 进行 读 写 。 智 能 卡 内 封装 了 微 处 理 芯片 (CPU)， 有 具备 数据 
安全 性 保护 措施 ， 具 有 数据 判断 和 数据 分 析 能 力 ， 可 以 对 数据 进行 加 密 和 解密 处 理 。 目 前 ， 
DES、RSA 等 能 被 智能 卡 支持 。 智 能 卡 一 般 都 有 一 个 128KB 的 ROM 用 于 存放 程序 代码 ， 
一 个 64 一 128KB 的 EPROM 和 最 大 可 达 1MB 的 Hash 内 存 来 存放 用 户 数据 ， 一 个 4 一 5SKB 
的 RAM 用 作 工 作 区 。 卡 内 的 CPU 和 外 设 能 以 30MHz 的 内 部 时 钟 频率 进行 工作 ， 能 够 较 好 
地 完成 计算 量 大 的 操作 。 内 部 时 钟 的 实现 对 实时 性 要 求 更 高 的 应 用 也 提供 了 重要 保证 。32 
位 的 RSIC 处 理 器 使 智能 卡 能 够 应 用 于 更 多 的 加 密 算法 , 并 且 对 算法 中 密 钥 长 度 的 要 求 也 不 
断 放宽 。 智 能 卡 是 一 种 接触 型 的 认证 设备 ， 需 要 与 读 卡 设备 进行 对 话 ， 而 不 是 由 读 卡 设备 
直接 将 存储 的 数据 读 出 。 智 能 卡 自身 安全 一 般 受 PIN 码 保护 ，PIN 码 是 由 数字 组 成 的 口令 ， 
只 有 读 卡 机 将 PIN 码 输 入 智能 卡 后 才能 读 出 卡 中 保存 的 数据 。 智 能 卡 对 微 电 子 技术 的 要 求 
相当 高 ， 所 以 成 本 较 高 。 

基于 智能 卡 的 身份 认证 机 制 要 求 用 户 在 认证 时 持 有 智能 卡 (智能 卡 中 存 有 秘密 信息 ， 可 
以 是 用 户 密码 的 加 密 文件 或 者 是 随机 数 )， 只 有 持 卡 人 才能 被 认证 。 它 的 优点 是 可 以 防止 口 
令 被 猜测 ， 但 也 存在 一 定 的 安全 因素 ， 如 攻击 者 获得 用 户 的 智能 卡 ， 并 知道 他 保护 智能 卡 
的 密码 ， 这 样 攻击 者 就 可 以 冒充 用 户 登录 。 

USB Key 是 由 带 有 EPROM 的 CPU 实现 的 芯片 级 操作 系统 ， 所 有 读 写 和 加 密 运 算 都 在 
芯片 内 部 完成 ， 具 有 很 高 的 安全 度 。 它 自身 所 具备 的 存储 器 可 以 用 来 存储 一 些 个 人 信息 或 
证 书 ， 用 来 标识 用 户 身 份 ， 内 部 密码 算法 可 以 为 数据 传输 提供 安全 的 传输 信道 。 
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采用 硬件 令 牌 进行 身份 认证 的 技术 是 指 通 过 用 户 随身 携带 身份 认证 令 牌 来 进行 身份 认 
证 的 技术 , 主要 的 硬件 设备 有 智能 卡 和 目前 流行 的 USB Key 等 。 基于 USB Key 的 硬件 令 牌 
身份 认证 系统 将 是 未 来 的 趋势 。 

基于 硬件 令 牌 的 认证 方式 是 一 种 双 因子 的 认证 方式 (PIN+ 物 理 证 件 )， 即 使 PIN 或 硬件 
设备 被 窃取 ， 用 户 仍 不 会 被 冒充 。 双 因子 认证 比 基 于 口令 的 认证 方法 增加 了 一 个 认证 要 素 ， 
攻击 者 仅仅 获取 了 用 户口 令 或 者 仅仅 拿 到 了 用 户 的 硬件 令 牌 ， 都 无 法 通过 系统 的 认证 。 因 
此 ， 这 种 方法 比 基 于 口令 的 认证 方法 具有 更 好 的 安全 性 。 


2. 基于 智能 手机 的 身份 认证 


前 ， 智 能 手机 非常 普及 ， 它 给 身份 认证 带 来 了 新 的 机 遇 。 所 谓 智 能 手机 ， 是 指 具 有 
独立 操作 系统 ， 支 持 第 三 方 软件 ， 并 可 以 用 软件 对 手机 功能 进行 扩充 的 一 类 手机 的 总 称 。 
智能 手机 不 仅 提供 通信 功能 ， 而 且 还 有 PDA 的 部 分 功能 ， 并 可 以 接 入 移动 通信 网 络 上 网 。 
目前 ， 智 能 手机 以 其 强大 的 功能 受到 了 广大 消费 者 的 喜爱 ， 并 占据 了 手机 市 场 的 主导 地 位 。 

(1) 智能 手机 是 一 个 相对 安全 的 环境 。 手 机 是 私人 物品 ， 不 像 个 人 计算 机 一 样 同 一 台 
计算 机 可 能 被 多 人 共享 ， 这 样 用 户 就 对 他 的 手机 拥有 绝对 的 控制 权 。 

(2) 智能 手机 比 USB Key、Token 更 容易 携带 。 手 机 通常 是 人 们 随身 必 带 的 物品 ， 不 会 
发 生 使 用 相关 网 络 应 用 时 ， 而 没有 带 手机 的 情况 。 从 而 大 大 方便 了 用 户 的 使 用 。 再 次 ， 智 
能 手机 功能 强大 ， 可 以 方便 地 扩展 其 功能 。 动 态 口令 技术 ， 尤 其 是 数字 签名 技术 需要 复杂 
的 实现 机 制 ， 需 要 强大 的 计算 能 力 。 一 方面 ， 智 能 手机 的 硬件 配置 往往 较 高 ， 可 以 高 速 地 
进行 运算 ， 为 数字 签名 的 实现 提供 了 硬件 上 的 支持 。 另 一 方面 ， 智 能 手机 操作 系统 提供 了 
方便 的 编程 接口 ， 使 得 复杂 身份 认证 机 制 的 实现 更 加 容易 ， 从 而 大 大 降低 了 开发 成 本 。 因 
此 ， 基 于 智能 手机 强大 的 软 硬 件 功能 ， 可 以 设计 更 为 复杂 、 安 全 的 身份 认证 机 制 ， 如 可 采 
用 动态 口令 技术 和 数字 签名 技术 相 结合 的 方式 。 


7.3.4 生物 特征 


口令 认证 容易 被 猜 出 ， 比 较 脆 弱 ， 存 在 很 多 缺陷 。 为 了 克服 传统 身份 认证 方式 的 缺点 ， 
尤其 是 假冒 攻击 ， 迫 切 需要 寻求 一 种 新 的 身份 认证 方式 ， 即 能 与 人 本 身 建立 一 一 对 应 的 身 
份 认证 技术 ， 或 许 利 用 不 断 发 展 与 成 熟 的 生物 特征 识别 技术 是 替代 传统 身份 认证 的 最 佳 
选择 。 

生物 识别 技术 (Biometric Identification Technology) 是 利用 人 体 生 物 特 征 进行 身份 认证 的 
一 种 技术 。 生 物 特 征 是 唯一 的 (与 他 人 不 同 )、 可 测量 或 自动 识别 和 可 验证 的 生理 特征 或 行为 
方式 ， 分 为 生理 特征 和 行为 特征 。 生 理 特 征 与 生 俱 来 ， 多 为 先天 性 的 ， 行 为 特征 则 是 习惯 
使 然 ， 多 为 后 天 性 的 。 生 理 特 征 和 行为 特征 统称 为 生物 特征 。 常 用 的 生理 特征 包括 DNA、 
指纹 、 虹 膜 、 人 脸 、 手 指 静脉 、 视 网 膜 、 掌 纹 、 耳 郭 、 手 形 、 手 上 的 静脉 血管 和 体味 等 ， 
行为 特征 包括 联机 签名 、 击 键 打字 、 声 波 和 步 态 等 。 与 传统 的 身份 鉴定 技术 相 比 ， 基 于 生 
物 特征 识别 的 身份 鉴定 技术 具有 以 下 优点 。 

(1) 终生 不 变 或 只 有 非常 轻微 的 变化 。 

(2) 随身 携带 ， 不 易 被 盗 、 丢 失 或 遗忘 。 

(3) 防伪 性 好 ， 难 伪造 或 模仿 。 
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基于 生物 特征 识别 技术 的 典型 成 功 应 用 案例 有 (D2008 年 ， 人 脸 识 别 系统 在 北京 奥运 
会 中 出 色 地 完成 了 人 员 的 身份 认证 ，@@ 基 于 指纹 识别 技术 的 美国 的 访客 计划 (US-VISIT); 
@@2004 年 ， 澳 大 利 亚 国 际 机 场 采用 了 基于 人 脸 识别 技术 的 生物 特征 护照 系统 来 进行 身份 
认证 。 

研究 表明 ， 采 用 指纹 、 虹 膜 、 人 脸 、 手 指 辛 脉 、 掌 纹 、DNA 等 的 任何 一 个 特征 ， 两 个 
人 相同 的 概率 极其 微小 。 因 此 ， 可 以 唯一 证 明 个 人 身份 ， 满 足 个 人 身份 的 确定 性 和 不 可 否 
认 性 。 在 这 些 特征 中 ， 终 生 不 变 ， 易 于 获取 ， 应 用 广泛 ， 全 世界 各 个 行业 都 接受 的 个 人 特 
征 应 首选 指纹 。 基 于 生物 识别 技术 的 身份 认证 被 认为 是 最 安全 的 身份 认证 技术 ， 将 来 能 够 
被 广泛 地 应 用 在 物 联网 环境 中 。 

1. 指纹 识别 


目前 所 有 生物 特征 识别 技术 中 ， 指 纹 识别 无 论 在 硬件 设备 还 是 软件 算法 上 都 是 最 成 熟 、 
开发 最 早 、 应 用 最 广泛 的 。 据 相关 资料 显示 ， 我 国 古代 最 早 的 指纹 应 用 可 追溯 至 秦 朝 。 唐 
朝 时 ， 以 “ 按 指 为 书 ”为 代表 的 指纹 捧 印 已 经 在 文书 、 契 约 等 民用 场合 被 广泛 采用 。 自 宋 
朝 起 ， 指 纹 则 开始 被 用 作 刑 事 诉 讼 的 物证 。 虽 然 我 国 对 指纹 的 应 用 历史 比较 悠久 ， 但 由 于 
缺乏 专门 性 的 研究 ， 未 能 将 指纹 识别 技术 上 升 为 一 门 科 学 。 在 欧洲 ，1788 年 ，J. Mayer 首 
次 提出 没有 两 个 人 的 指纹 会 完全 相同 ; 1889 年 , E. R. Henry 在 总 结 前 人 研究 成 果 的 基础 上 ， 
提出 了 指纹 细节 特征 识别 理论 ， 葛 定 了 现代 指纹 学 的 基础 。 

指纹 识别 技术 从 被 发 现时 起 ， 就 被 广泛 地 应 用 于 契约 等 民用 领域 。 由 于 人 体 指纹 具有 
终身 稳定 性 和 唯一 性 ， 很 快 就 被 用 于 刑事 侦查 ， 并 被 尊 为 “物证 之 首 ”。 但 早期 的 指纹 识 
别 采用 的 方法 是 人 工 比 对 , 效率 低 、 速 度 慢 , 不 能 满足 现代 社会 的 需要 。20 世纪 60 年 代 末 ， 
在 美国 开始 有 人 提出 用 计算 机 图 像 处 理 和 模式 识别 方法 进行 指纹 分 析 以 代替 人 工 比 对 ， 这 
就 是 自动 指纹 识别 系统 (简称 AFIS)。 因 为 成 本 及 对 运行 环境 的 特殊 要 求 ， 开 始 时 其 应 用 主 
要 限于 刑侦 领域 。 随 着 计算 机 图 像 处 理 和 模式 识别 理论 以 及 大 规模 集成 电路 技术 的 不 断 发 
展 与 成 熟 ， 指 纹 自 动 识别 系统 的 体积 不 断 缩小 ， 其 价格 也 不 断 降低 ， 因 而 被 应 用 到 民用 领 
域 。20 世纪 80 年 代 ， 个 人 计算 机 、 光 学 扫描 这 两 项 技术 的 革新 ， 使 得 它们 作为 指纹 取 像 的 
工具 成 为 现实 ， 从 而 使 指纹 识别 可 以 在 其 他 领域 中 得 以 应 用 ， 比 如 代替 IC 卡 。20 世纪 90 
年 代 后 期 ， 低 价位 取 像 设备 的 引入 及 其 飞速 发 展 ， 以 及 可 靠 的 比 对 算法 的 发 现 ， 为 个 人 身 
份 识别 应 用 的 增长 提供 了 舞台 。 指 纹 自动 识别 技术 已 在 警察 司法 活动 和 出 入 口 控制 、 信 息 
编码 、 银 行 信用 卡 、 重 要 证 件 防 伪 等 许多 领域 广泛 使 用 。 

指纹 是 手指 末端 正面 皮肤 上 的 呈 有 规则 定向 排列 的 纹 线 。 每 个 人 指纹 纹路 在 图 案 、 断 
点 和 交叉 点 上 各 不 相同 ， 是 唯一 的 ， 并 且 终生 不 变 。 

人 的 指纹 特征 可 大 致 分 为 两 类 : 总 体 特 征 和 局 部 特征 。 总 体 特征 是 用 肉眼 就 可 以 直接 
观察 到 的 纹路 图 案 : 环 型 、 弓 型 、 螺 旋 型 ， 即 我 们 俗称 的 斗 、 敏 答 、 双 笑 斗 。 但 仅 靠 这 些 
基本 的 图 案 来 进行 分 类 识别 还 远 远 不 够 。 在 实际 应 用 中 ， 常 提取 某 人 指纹 的 节点 (指纹 纹路 
中 经 常 出 现 的 中 断 、 分 叉 或 转折 ) 这 个 局 部 特征 信息 ， 进 行 身份 认证 。 指 纹 节点 的 信息 特征 
多 达 150 多 种 ， 但 一 些 细节 特征 极为 罕见 ， 常 见 的 节点 类 型 有 以 下 6 种 : 终结 点 (一 条 纹路 
在 此 终结 )、 分 叉 点 (一 条 纹路 在 此 分 开 成 为 两 条 或 更 多 的 纹路 )、 分 歧 点 (两 条 平行 的 纹路 在 
此 分 开 )、 扳 立 点 (一 条 特别 短 的 纹路 ， 以 至 于 成 为 一 点 )、 环 点 (一 条 纹路 分 开 成 为 两 条 之 后 ， 
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立即 合并 成 为 一 条 ， 这 样 形成 的 一 个 小 环 )、 短 纹 (一 端 较 短 但 不 至 于 成 为 一 点 的 纹路 )。 其 
中 ， 最 典型 和 最 常用 的 是 终结 点 和 分 叉 点 ， 在 自动 指纹 识别 技术 中 ， 一 般 只 检测 这 两 种 类 
型 的 节点 数量 ， 并 结合 节点 的 位 置 、 方 向 和 所 在 区 域 纹路 的 曲率 ， 得 到 唯一 的 指纹 特征 。 
指纹 识别 的 准确 率 与 输入 指纹 图 像 的 质量 有 着 非常 重要 的 关系 。 由 于 噪声 、 不 均匀 接触 等 
原因 ， 可 能 导致 获取 指纹 图 像 时 产生 许多 畸变 。 在 分 析 指 纹 特征 时 ， 就 会 产生 大 量 的 可 疑 
特征 点 ， 渡 没 真实 特征 点 ， 所 以 采用 平滑 、 滤 波 、 二 值 化 、 细 化 等 图 像 处 理 方法 来 提高 纹 
路 的 清晰 度 ， 同 时 删除 被 大 量 噪声 破坏 的 区 域 。 

指纹 识别 主要 包括 指纹 图 像 增强 、 特 征 提取 、 指 纹 分 类 和 指纹 匹配 。 

1) “指纹 图 像 增强 

指纹 图 像 增强 的 目的 是 提高 可 恢复 区 域 的 湖 信 息 清晰 度 ， 同 时 删除 不 可 恢复 区 域 ， 一 
般 包括 以 下 几 个 环节 : 规格 化 、 方 向 图 估计 、 频 率 图 估计 、 生 成 模板 、 滤 波 ， 其 主要 问题 
在 于 利用 将 的 平行 性 设计 合适 的 自 适 应 方向 滤波 器 和 取得 合适 的 阔 值 。 

2) “特征 提取 

美国 国家 标准 局 提出 用 于 指纹 匹配 细节 的 4 种 特征 为 硝 终 点 、 分 又 点 、 复 合 特征 (三 分 
叉 或 交叉 点 ) 以 及 未 定义 。 但 目前 最 常用 细节 特征 的 定义 是 美国 联邦 调查 局 (FBD 提 出 的 细节 
模型 ， 它 定义 指纹 图 像 的 最 显著 特征 分 为 硝 终 点 和 分 叉 点 ， 每 个 清晰 指纹 一 般 有 40 一 100 
个 这 样 的 细节 点 。 指 纹 特 征 的 提取 采用 链 码 搜索 法 对 指纹 纹 线 进行 搜索 ， 自 动 指纹 识别 系 
统 (AFIS) 依 赖 于 这 些 局 部 疹 特 征 及 其 关系 来 确定 身份 。 另外 ,指纹 图 像 的 预 处 理 和 特征 提取 
也 可 采用 基于 少 线 跟踪 的 方法 。 其 基本 思想 是 沿 纹 线 方向 自 适应 地 追踪 指纹 将 线 ， 在 追踪 
过 程 中 ， 局 部 增强 指纹 图 像 ， 最 后 得 到 一 幅 细 化 后 的 指纹 硝 线 骨架 图 和 附加 在 其 上 的 细节 
点 信息 。 由 于 该 算法 只 在 占 全 图 比例 很 少 的 点 上 估算 方向 并 滤波 处 理 ， 计 算 量 相对 较 少 ， 
在 时 间 复 杂 度 上 具有 一 定 的 优势 。 

3) ”指纹 分 类 

常见 的 有 基于 神经 网 络 的 分 类 方法 、 基 于 奇异 点 的 分 类 方法 、 基 于 疹 线 几何 形状 的 分 
类 方法 、 隐 马尔 可 夫 分 类 器 的 方法 、 基 于 指纹 方向 图 分 区 和 遗传 算法 的 连续 分 类 方法 。 

4) ”指纹 匹配 

指纹 匹配 是 指纹 识别 系统 的 核心 步 又， 匹配 算法 包括 图 匹配 、 结 构 匹 配 等 ， 但 最 常用 
的 方法 是 用 FBI 提出 的 细节 模型 来 做 细节 匹配 ， 即 点 模式 匹配 。 点 模式 匹配 问题 是 模式 识 
别 中 的 经 典 难题 ， 研 究 者 先后 提出 过 很 多 的 算法 ， 如 松弛 算法 、 模 拟 退火 算法 、 遗 传 算法 、 
基于 Hough 变换 的 算法 等 ， 在 实践 中 可 以 同时 采用 多 种 匹配 方法 以 提高 指纹 识别 系统 的 可 
靠 性 及 识别 率 。 


2. 虹膜 识别 


与 指纹 识别 一 样 ， 虹 膜 识别 也 是 以 人 的 生物 特征 为 基础 ， 而 虹膜 也 同样 具有 高 度 不 可 
重复 性 。 虹 膜 是 眼球 中 包围 瞳孔 的 部 分 ， 每 一 个 虹膜 都 包含 一 个 独一无二 的 基于 像 冠 、 水 
晶体 、 细 丝 、 斑 点 、 结 构 、 目 点、 射线 、 皱 纹 和 条 纹 等 特征 的 结构 ， 这 些 特 征 组 合 起 来 形 
成 一 个 极其 复杂 的 锯齿 状 网 络 花纹 。 与 指纹 一 样 ， 每 个 人 的 虹膜 特征 都 不 相同 ， 到 目前 为 
止 ， 世 界 上 还 没有 发 现 虹膜 特征 完全 相同 的 案例 ， 即 便 是 同 卵 双 胞 胎 ， 虹 膜 特征 也 大 不 相 
同 ， 而 同一 个 人 左右 两 眼 的 虹膜 特征 也 有 很 大 的 差别 。 此 外 ， 虹 膜 具有 高 度 稳定 性 ， 其 细 
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部 结构 在 胎儿 时 期 形成 之 后 就 终身 不 再 发 生 改 变 ， 除 了 白内障 等 少数 病理 因素 会 影响 虹膜 
外 ， 即 便 用 户 接受 眼角 膜 手 术 ， 虹 膜 特征 也 与 手术 前 完全 相同 。 高 度 不 可 重复 性 和 结构 稳 
定性 让 虹膜 可 以 作为 身份 识别 的 依据 ， 事 实 上 ， 它 也 许 是 最 可 靠 、 最 不 可 伪造 的 身份 识别 
技术 。 

基于 虹膜 的 生物 识别 技术 同 指纹 识别 一 样 ， 主 要 由 4 个 部 分 构成 : 虹膜 图 像 获 取 、 图 
像 预 处 理 、 虹 膜 特 征 提取 、 匹 配 与 识别 。 

1) “虹膜 图 像 获 取 

虹膜 图 像 获 取 时 ， 人 了 眼 不 与 CCD、CMOS 等 光学 传感器 直接 接触 ， 采 用 的 是 一 种 非 侵 
犯 式 的 采集 技术 。 所 以 ， 作 为 身份 鉴别 系统 中 的 一 项 重要 生物 特征 ， 虹 膜 识 别 和 凭借 虹膜 丰 
富 的 纹理 信息 、 稳 定性 、 唯 一 性 和 非 侵犯 性 ， 越 来 越 受 到 学 术 界 和 工业 界 的 重视 。 虹 膜 图 
像 的 获取 是 非常 困难 的 一 步 。 一 方面 由 于 人 眼 本 身 就 是 一 个 镜头 ， 许 多 无 关 的 杂 光 会 在 人 
眼中 成 像 ， 从 而 被 摄 入 虹膜 图 像 中 ， 另 一 方面 ， 由 于 虹膜 直径 只 有 十 几 毫米 ， 不 同人 种 的 
虹膜 颜色 有 着 很 大 的 差别 。 如 白 种 人 的 虹膜 颜色 浅 ， 纹 理 显 著 ， 而 黄种 人 的 虹膜 则 多 为 深 
褐色 ， 纹 理 非常 不 明显 。 在 普通 状态 下 ， 很 难 拍 到 可 用 的 图 像 。 

2) ”虹膜 图 像 预 处 理 

虹膜 图 像 的 预 处 理 包 括 对 虹膜 图 像 定位 、 归 一 化 和 增强 3 个 步骤 。 虹 膜 图 像 定位 是 去 
除 采 集 到 的 眼 蛤 、 睫 毛 、 眼 白 等 ， 找 出 虹膜 的 圆心 和 半径 。 为 了 消除 平移 、 旋 转 、 缩 放 等 
几何 变换 对 虹膜 识别 的 影响 ， 必 须 把 原始 虹膜 图 像 调 整 到 相同 的 尺寸 和 对 应 位 置 。 虹 膜 的 
环形 图 案 特征 决定 了 虹膜 图 像 可 采用 极 坐标 变换 形式 进行 归 一 化 。 虹 膜 图 像 在 采集 过 程 中 
的 不 均匀 光照 会 影响 纹理 分 析 的 效果 。 一 般 采 取 直 方 图 均衡 化 的 方法 进行 图 像 增强 ， 减 少 
光照 不 均匀 分 布 的 影响 。 

3) ”虹膜 特征 提取 、 匹 配 与 识别 

虹膜 的 特征 提取 和 匹配 识别 方法 最 早 由 英国 剑桥 大 学 的 John Daugman 博士 于 1993 年 
提出 ， 以 后 许多 虹膜 识别 技术 都 是 以 此 为 基础 展开 的 。Daugman 博士 用 Gabor 滤波 器 对 虹 
膜 图 像 进行 编码 ， 基 于 任意 一 个 虹膜 特征 码 都 与 其 他 的 不 同 虹膜 生成 的 特征 码 统计 不 相关 
这 一 特性 ， 比 对 两 个 虹膜 特征 码 的 Hamming 距离 实现 虹膜 识别 。 

随 着 虹膜 识别 技术 研究 和 应 用 的 进一步 发 展 ， 虹 膜 识 别 系统 的 自动 化 程度 越 来 越 高 ， 
神经 网 络 算法 、 模 糊 识别 算法 也 逐步 应 用 到 虹膜 识别 之 中 。 进 入 21 世纪 后 ， 随 着 外 围 硬件 
技术 的 不 断 进 步 ， 虹 膜 采 集 设备 技术 越 来 越 成 熟 ， 虹 膜 识别 算法 所 要 求 的 计算 能 力也 越 来 
越 不 是 问题 。 虹 膜 识别 技术 ， 由 于 其 在 采集 、 精 确 度 等 方面 独特 的 优势 ， 必 然 会 成 为 未 来 
社会 的 主流 生物 认证 技术 。 未 来 的 安全 控制 、 海 关 进 出 口 检 验 、 电 子 商务 等 多 个 领域 的 应 
用 ， 也 必然 会 以 虹膜 识别 技术 为 重点 。 这 种 趋势 现在 已 经 在 全 球 各 地 的 各 种 应 用 中 逐渐 开 
始 显现 。 


7.3.5 行为 

生物 识别 技术 是 利用 人 体 生物 特征 进行 身份 认证 的 。 生 物 特征 是 唯一 的 (与 他 人 不 同 )， 
可 测量 或 自动 识别 和 可 验证 的 生理 特征 或 行为 方式 。 生 理 特征 与 生 俱 来 ， 多 为 先天 性 的 
行为 特征 则 是 习惯 使 然 ， 多 为 后 天 性 的 ， 通 常 包括 联机 签名 、 击 键 打字 、 声 波 和 步 态 等 动 
作 行 为 。 目 前 关于 生物 特征 行为 的 识别 方法 研究 比较 多 的 是 基于 步 态 的 身份 识别 技术 。 
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步 态 识别 是 一 种 新 兴 的 生物 特征 识别 技术 ， 则 在 根据 人 们 走路 的 姿势 进行 身份 识别 。 
步 态 特征 是 在 远 距 离 情 况 下 唯一 可 提取 的 生物 特征 ， 早 期 的 医学 研究 证 明了 步 态 具 有 唯一 
性 ， 因 此 可 以 通过 对 步 态 的 分 析 来 进行 人 的 身份 识别 。 它 与 其 他 的 生物 特征 识别 方法 (如 指 
纹 、 虹 膜 、 人 脸 等 ) 相 比 有 其 独特 的 特点 。 

(1) 远 距 离 性 : 传统 的 指纹 和 人 脸 识别 只 能 在 接触 或 近 距 离 情 况 下 才能 感知 ， 而 步 态 
特征 可 以 在 远 距 离 情况 下 感知 。 

(2) 侵犯 性 ， 在 信息 采集 过 程 中 ， 其 他 的 生物 特征 识别 技术 需要 在 与 用 户 的 协同 合作 
(如 接触 指纹 仪 、 注 视 虹膜 捕捉 器 等 ) 下 来 完成 ， 交 互 性 很 强 ， 而 步 态 特征 却 能 够 在 用 户 并 不 
知情 的 情况 下 获取 。 

(3) 难以 隐藏 和 伪装 : 在 安全 监控 中 ， 作 案 对 象 通常 会 采取 一 些 措施 (如 戴 上 手套 、 眼 
镜 和 头盔 等 ) 掩 饰 自己 ， 以 逃避 监控 系统 的 监视 ， 此 时 ， 人 脸 和 指纹 等 特征 已 不 能 发 挥 它们 
的 作用 。 然 而 ， 人 要 行走 ， 使 得 步 态 难以 隐藏 和 伪装 ， 和 否则 ， 在 安全 监控 中 只 会 令 其 行为 
变 得 可 疑 ， 更 加 容易 引起 注意 。 

(4) 便于 采集 : 传统 的 生物 特征 识别 对 所 捕捉 的 图 像 质量 要 求 较 高 ， 然 而 ， 步 态 特征 
受 视频 质量 的 影响 较 小 ， 即 使 在 低 分 辨 率 或 图 像 模 糊 的 情况 下 也 可 获取 。 

目前 有 关 步 态 识别 的 研究 尚 处 于 理论 探索 阶段 ， 还 没有 应 用 于 实际 中 。 但 基于 步 态 的 
身份 识别 技术 具有 广泛 的 应 用 前 景 ， 重 点 应 用 在 智能 监控 中 ， 适 于 监控 那些 对 安全 敏感 的 
场合 ， 如 银行 、 军 事 基地 、 国 家 重要 安全 部 门 、 高 级 社区 等 。 在 这 些 敏感 场合 ， 出 于 管理 
和 安全 的 需要 ， 人 们 可 以 采用 步 态 识别 方法 ， 实 时 地 监控 该 区 域内 发 生 的 事件 ， 帮 助人 们 
更 有 效 地 进行 人 员 身 份 鉴别 ， 从 而 快速 检测 危险 并 提供 不 同人 员 的 不 同 进 入 权限 级 别 。 因 
此 ， 对 于 开发 实时 稳定 的 基于 步 态 识别 的 智能 身份 认证 系统 具有 重要 的 理论 和 实际 意义 。 


7.4 访问 控制 














7.4.1 访问 控制 系统 


访问 控制 是 对 用 户 合法 使 用 资源 的 认证 和 控制 。 物 联网 应 用 系统 是 多 用 户 、 多 任务 的 
工作 环境 ， 为 非法 使 用 系统 资源 打开 了 方便 之 门 。 因 此 ， 人 迫切 要 求 对 计算 机 及 其 网 络 系统 
采取 有 效 的 安全 防范 措施 ， 防 止 非法 用 户 进入 系统 及 合法 用 户 对 系统 资源 的 非法 使 用 ， 这 
就 需要 采用 访问 控制 系统 。 

1. 访问 控制 的 功能 


访问 控制 应 具备 身份 认证 、 授 权 、 文 件 保护 和 审计 等 主要 功能 。 

1) ”认证 

认证 就 是 证 实用 户 的 身份 。 认 证 必须 和 标识 符 共同 起 作用 。 认 证 过 程 首先 需要 输入 账 
户 名 、 用 户 标识 或 者 注册 标识 ， 告 诉 主机 是 谁 。 账 户 名 应 该 是 秘密 的 ， 任 何其 他 用 户 不 能 
拥有 它 。 但 为 了 防止 账户 名 或 用 户 标识 的 泄露 而 出 现 非法 用 户 的 访问 ， 还 需要 进一步 用 认 
证 技术 证 实用 户 的 合法 身份 。 

2) ”授权 

系统 正确 认证 用 户 之 后 ， 根 据 不 同 的 用 户 标识 分 配给 不 同 的 使 用 资源 ， 这 项 任务 称 为 
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授权 。 授 权 的 实现 是 靠 访问 控制 完成 的 。 访 问 控制 是 一 项 特殊 的 任务 ， 它 用 标识 符 ID 做 关 
键 字 来 控制 用 户 访问 的 程序 和 数据 。 访 问 控制 主要 用 在 关键 节点 、 主 机 和 服务 器 上 ， 一 般 
节点 很 少 使 用 。 如 果 在 一 般 节 点 上 增加 访问 控制 功能 ， 则 应 该 安装 相应 的 授权 软件 。 在 实 
际 应 用 中 ， 通 常 需要 从 用 户 类 型 、 应 用 资源 以 及 访问 规则 3 个 方面 来 明确 用 户 的 访问 权限 。 

(1) 用 户 类 型 。 对 于 一 个 已 经 被 系统 识别 和 认证 了 的 用 户 ， 还 要 对 他 的 访问 操作 实施 
一 定 的 限制 。 对 于 一 个 通用 计算 机 系统 来 讲 ， 用 户 范围 很 广 ， 层 次 不 同 ， 权 限 也 不 同 。 用 
户 类 型 一 般 有 系统 管理 员 、 一 般 用 户 、 审 计 用 户 和 非法 用 户 。 系 统管 理 员 权限 最 高 ， 可 以 
对 系统 任何 资源 进行 访问 ， 并 具有 所 有 类 型 的 访问 操作 权力 。 一 般 用 户 的 访问 操作 要 受到 
一 定 的 限制 。 根 据 需 要 ， 系 统管 理 员 对 这 类 用 户 分 配 不 同 的 访问 操作 权力 。 审 计 用 户 负责 
对 整个 系统 的 安全 控制 与 资源 使 用 情况 进行 审计 。 非 法 用 户 则 是 被 取消 访问 权力 或 者 被 拒 
绝 访问 系统 的 用 户 。 

(2) 应 用 资源 。 系 统 中 的 每 个 用 户 共同 分 享 系统 资源 。 系 统 内 需要 保护 的 是 系统 资源 ， 
因此 需要 对 保护 的 资源 定义 一 个 访问 控制 包 (Access Control Packet，ACP), 访问 控制 包 对 每 
一 个 资源 或 资源 组 勾画 出 一 个 访问 控制 列表 (Access Control List，ACL)， 它 描述 哪个 用 户 可 
以 使 用 哪个 资源 以 及 如 何 使 用 。 

(3) 访问 规则 。 访 问 规则 定义 了 若干 条 件 ， 在 这 些 条 件 下 可 准许 访问 一 个 资源 。 一 般 
来 讲 ， 规 则 使 用 户 和 资源 配对 ， 然 后 指定 该 用 户 可 以 在 该 资源 上 执行 哪些 操作 ， 如 只 读 、 
不 允许 执行 或 不 许 访问 。 由 负责 实施 安全 政策 的 系统 管理 人 员 根 据 最 小 特权 原则 来 确定 这 
些 规 则 ， 即 在 授予 用 户 访问 某 种 资源 的 权限 时 ， 只 给 他 访问 该 资源 的 最 小 权限 。 例 如 ， 用 
户 需 要 读 权 限时 ， 则 不 应 该 授予 读 写 权限 。 

3) ”文件 保护 

对 该 文件 提供 附加 保护 ， 使 非 授权 用 户 不 可 读 。 一 般 采 用 对 文件 加 密 的 附加 保护 。 

4) 审计 

记录 用 户 的 行为 ， 以 说 明 安 全 方案 的 有 效 性 。 审 计 是 记录 用 户 系统 所 进行 的 所 有 活动 
的 过 程 ， 即 记录 用 户 违反 安全 规定 使 用 系统 的 时 间 、 日 期 以 及 用 户 活 动 。 因 为 可 能 收集 的 
数据 量 非常 大 ， 所 以 良好 的 审计 系统 最 低 限 度 应 具有 允许 进行 筛选 并 报告 审计 记录 的 工具 。 
此 外 ， 还 应 允许 对 审计 记录 做 进一步 的 分 析 和 处 理 。 

2. 访问 控制 的 关键 要 素 


访问 控制 是 指 主体 依据 某 些 控制 策略 和 权限 对 客体 或 其 他 资源 进行 不 同 授权 的 访问 。 
访问 控制 包括 3 个 要 素 : 主体 、 客 体 和 控制 策略 。 

1) 主体 

主体 是 可 以 在 信息 客体 间 流 动 的 一 种 实体 。 主 体 通常 指 的 是 访问 用 户 ， 但 是 进程 或 设 
备 也 可 以 成 为 主体 ， 所 以 对 文件 进行 操作 的 用 户 是 一 个 主体 ; 用 户 调度 并 运行 的 某 个 作业 
也 是 一 个 主体 ， 检 测 电源 故障 的 设备 也 是 一 个 主体 。 大 多 数 交 互 式 系统 的 工作 过 程 是 : 用 
户 首先 在 系统 中 注册 ， 然 后 启动 某 一 进程 完成 某 项 任务 ， 该 进程 继承 了 启动 它 的 用 户 的 访 
问 权限 。 在 这 种 情况 下 ， 进 程 也 是 一 个 主体 。 一 般 来 讲 ， 审 计 机 制 应 能 对 主体 涉及 的 某 一 
客体 进行 的 与 安全 有 关 的 所 有 操作 都 做 相应 的 记录 和 跟踪 。 

2) ”客体 

客体 本 身 是 一 种 信息 实体 ， 或 者 是 从 其 他 主体 或 客体 接收 信息 的 载体 。 客 体 不 受 它们 
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所 依存 的 系统 的 限制 ， 它 可 以 是 记录 、 数 据 块 、 存 储 页 、 存 储 段 、 文 件 、 目 录 、 目 录 树 、 
邮箱 、 信 息 、 程 序 等 ， 也 可 以 是 位 、 字 节 、 字 、 域 、 处 理 器 、 通 信 线 路 、 时 钟 、 网 络 节点 
等 。 主 体 有 时 也 可 以 当 作 客体 处 理 ， 例 如 ， 一 个 进程 可 能 含有 许多 子 进程 ， 这 些 子 进程 就 
可 以 认为 是 一 种 客体 。 在 一 个 系统 中 ， 作 为 一 个 处 理 单位 的 最 小 信息 集合 就 称 为 一 个 文件 ， 
每 一 个 文件 都 是 一 个 客体 。 如 果 文 件 可 以 分 成 许多 小 块 ， 并 且 每 个 小 块 又 可 以 单独 处 理 ， 
那么 每 个 小 块 也 都 是 一 个 客体 。 另 外 ， 如 果 文 件 系 统 组 织 成 一 个 树 型 结构 ， 这 种 文件 目录 
也 是 客体 。 

有 些 系统 中 ， 逻 辑 上 所 有 客体 都 作为 文件 处 理 。 每 种 硬件 设备 都 作为 一 种 客体 来 处 理 ， 
因而 ， 每 种 硬件 设备 都 具有 相应 的 访问 控制 信息 。 如 果 一 个 主体 准备 访问 某 个 设备 ， 它 必 
须 具 有 适当 的 访问 权限 ， 而 对 设备 的 安全 校 验 机 制 将 对 访问 权 进 行 校 验 。 例 如 ， 某 主体 想 
对 终端 进行 写 操作 ， 需 要 将 想 写 入 的 信息 先 写 入 相应 的 文件 中 去 ， 安 全 机 制 将 根据 该 文件 
的 访问 信息 来 决定 是 否 允 许 该 主体 对 终端 进行 写 操作 。 

3) ”控制 策略 

控制 策略 是 主体 对 客体 的 操作 行为 集 和 约束 条 件 集 ， 简 记 为 KS。 即 控制 策略 是 主体 对 
客体 的 访问 规则 集 ， 这 个 规则 集 直接 定义 了 主体 对 客体 允许 的 作用 行为 和 客体 对 主体 的 条 
件 约束 。 访 问 策略 体现 了 一 种 授权 行为 ， 也 就 是 客体 对 主体 的 权限 允许 ， 这 种 允许 不 超越 
规则 集 ， 由 其 给 出 。 

访问 控制 系统 的 三 个 要 素 可 以 使 用 三 元 组 (S,O,P) 来 表示 ， 其 中 S 表示 主体 ，O 为 客体 ， 
P 为 许可 。 当 主体 S 提出 一 系列 正常 请 求 信息 I,L,B,…, 时 ， 通 过 物 联网 系统 的 入 口 到 达 
控制 规则 集 KS 监视 的 监控 器 ， 由 KS 判断 允许 或 拒绝 这 次 请 求 。 在 这 种 情况 下 ， 必 须 先 确 
认 是 合法 的 主体 ， 而 不 是 假冒 的 欺骗 者 ， 也 就 是 对 主体 进行 认证 。 主 体 通过 验证 ， 才 能 访 
问 客 体 ， 但 并 不 保证 其 有 权限 可 以 对 客体 进行 操作 。 客 体 对 主体 的 具体 约束 由 访问 控制 表 
来 控制 实现 ， 对 主体 的 验证 一 般 是 鉴别 用 户 标志 和 用 户 密码 。 用 户 标 志 是 一 个 用 来 鉴别 用 
户 身份 的 字符 串 ， 每 个 用 户 有 且 只 能 有 唯一 的 一 个 用 户 标志 ， 以 便 与 其 他 用 户 有 所 区 别 。 
当 一 个 用 户 进行 系统 注册 时 ， 他 必须 提供 其 用 户 标志 ， 然 后 系统 执行 一 个 可 靠 的 审查 来 确 
信 当 前 用 户 是 对 应 用 户 标志 的 那个 用 户 。 

当前 访问 控制 实现 的 模型 普遍 采用 了 主体 、 客 体 、 许 可 的 定义 和 这 三 个 定义 之 间 的 关 
系 的 方法 来 描述 。 访 问 控制 模型 能 够 对 计算 机 系统 中 的 存储 元 素 进 行 抽象 表达 。 访 问 控制 
要 解决 的 一 个 根本 问题 便 是 主动 对 象 (如 进程 ) 对 被 动 的 受 保护 对 象 (如 被 访问 的 文件 等 ) 进 行 
访问 ， 按 照 安 全 策略 进行 控制 。 主 动 对 象 称 为 主体 ， 被 动 对 象 称 为 客体 。 

针对 一 个 安全 的 系统 ， 或 者 是 将 要 在 其 上 实施 访问 控制 的 系统 ， 一 个 访问 可 以 对 被 访 
问 的 对 象 产生 如 下 两 种 作用 : 一 是 对 信息 的 抽取 ; 二 是 对 信息 的 插入 。 对 于 对 象 来 说 ， 可 
以 有 “只 读 不 修改 ”"“ 只 读 修改 ”"“ 只 修改 不 读 ”“ 既 读 又 修改 ”4 种 类 型 。 

访问 控制 模型 可 以 根据 具体 安全 策略 的 配置 ， 来 决定 一 个 主体 对 客体 的 访问 属于 以 
上 4 种 访问 方式 中 的 哪 一 种 ， 并 且 根据 相应 的 安全 策略 来 决定 是 否 给 予 主体 相应 的 访问 
权限 。 


3. 访问 控制 策略 的 实施 
访问 控制 策略 是 物 联网 信息 安全 核心 策略 之 一 ， 其 任务 是 保证 物 联网 信息 不 被 非法 使 
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用 和 非法 访问 ， 为 保证 信息 基础 的 安全 性 提供 一 个 框架 ， 提 供 管理 和 访问 物 联网 资源 的 安 
全 方法 ， 规 定 各 要 素 要 遵守 的 规范 及 应 负 的 责任 ， 使 得 物 联网 系统 的 安全 有 了 可 靠 的 依据 。 

1) ”访问 控制 策略 的 基本 原则 

访问 控制 策略 的 制定 与 实施 必须 围绕 主体 、 客 体 和 安全 控制 规则 集 三 者 之 间 的 关系 展 
开 。 具 体 原则 如 下 。 

(1) 最 小 特权 原则 。 最 小 特权 原则 指 主体 执行 操作 时 ， 按 照 主体 所 需 权力 的 最 小 化 原 
则 分 配给 主体 权力 。 最 小 特权 原则 的 优点 是 最 大 限度 地 限制 了 主体 实施 授权 行为 ， 可 以 避 
免 来 自 突 发 事件 、 错 误 和 未 授权 主体 的 危险 。 即 为 了 达到 一 定 的 目的 ， 主 体 必 须 执 行 一 定 
的 操作 ， 但 它 只 能 做 它 被 允许 的 。 

(2) 最 小 泄露 原则 。 最 小 泄露 原则 指 主体 执行 任务 时 ， 按 照 主体 所 需要 知道 的 信息 最 
小 化 的 原则 分 配给 主体 权力 。 

(3) 多 级 安全 策略 。 多 级 安全 策略 指 主体 和 客体 间 的 数据 流向 与 权限 控制 按照 安全 级 
别 的 绝密 、 秘 密 、 机 密 、 限 制 和 无 级 别 5 级 来 划分 。 多 级 安全 策略 的 优点 是 可 避免 敏感 信 
息 的 扩散 。 对 于 具有 安全 级 别 的 信息 资源 ， 只 有 安全 级 别 比 它 高 的 主体 才能 够 访问 。 

2) ”访问 控制 策略 的 实现 方式 

(1) 访问 控制 的 安全 策略 。 有 基于 身份 的 安全 策略 和 基于 规则 的 安全 策略 。 目 前 这 两 
种 安全 策略 建立 的 基础 都 是 授权 行为 。 

(2) 基于 身份 的 安全 策略 。 基 于 身份 的 安全 策略 与 鉴别 行为 一 致 ， 其 目的 是 过 滤 对 数 
据 或 资源 的 访问 ， 只 有 能 通过 认证 的 那些 主体 才 有 可 能 正常 使 用 客体 的 资源 。 基 于 身份 的 
策略 包括 基于 个 人 的 策略 和 基于 组 的 策略 。 

中 基于 个 人 的 策略 :基于 个 人 的 策略 是 指 以 用 户 为 中 心 建立 的 一 种 策略 ， 这 种 策略 
由 一 些 列表 来 组 成 ， 这 些 列表 限定 了 针对 特定 的 客体 ， 哪 些 用 户 可 以 实现 何 种 策略 操作 
行为 。 

@ 基于 组 的 策略 :基于 组 的 策略 是 基于 个 人 策略 的 扩充 ， 指 一 些 用 户 被 允许 使 用 同 
样 的 访问 控制 规则 访问 同样 的 客体 。 

基于 身份 的 安全 策略 有 两 种 基本 的 实现 方法 : 访问 能 力 表 和 访问 控制 列表 。 访 问 能 力 
表 提 供 了 针对 主体 的 访问 控制 结构 ， 访 问 控制 列表 提供 了 针对 客体 的 访问 控制 结构 。 基 于 
规则 的 安全 策略 中 的 授权 通常 依赖 于 敏感 性 。 在 一 个 安全 系统 中 ， 对 数据 或 资源 应 该 标注 
安全 标记 ， 代 表 用 户 进行 活动 的 进程 可 以 得 到 与 其 原 发 者 相应 的 安全 标记 。 

在 实现 基于 规则 的 安全 策略 时 ， 由 系统 通过 比较 用 户 的 安全 级 别 和 客体 资源 的 安全 级 
别 来 判断 是 否 允 许 用 户 进 行 访问 。 


7.4.2 访问 控制 的 分 类 


访问 控制 可 以 限制 用 户 对 应 用 中 关键 资源 的 访问 ， 防 止 非法 用 户 进入 系统 及 合法 用 户 
对 象 系统 资源 的 非法 使 用 。 在 传统 的 访问 控制 中 ， 一 般 采 用 自主 访问 控制 (Discretionary 
Access Control，DAC)、 强 制 访问 控制 (Mandatory Access Control，MAC) 和 基于 角色 的 访问 
控制 (RBAC) 技 术 。 随 着 分 布 式 应 用 环境 的 出 现 ， 又 发 展 出 来 基于 属性 的 访问 控制 
(Attribute-Based Access Control，ABAC)、 基 于 任务 的 访问 控制 (Task-Based Access Control， 
TBAC)、 基 于 对 象 的 访问 控制 (Object-Based Access Control, OBAC) 等 多 种 访问 控制 技术 。 
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1. 基于 角色 的 访问 控制 


基于 角色 的 访问 控制 模型 (Role-Based Access Control，RBAC) 中 ， 权 限 和 角色 相关 ， 角 
色 是 实现 访问 控制 策略 的 基本 语义 实体 。 用 户 (UsenD 被 当 作 相应 角色 (Role) 的 成 员 而 获得 角 
色 的 权限 。 

基于 角色 访问 控制 的 核心 思想 是 将 权限 同 角色 关联 起 来 ， 而 用 户 的 授权 则 通过 赋予 相 
应 的 角色 来 完成 ， 用 户 所 能 访问 的 权限 就 由 该 用 户 所 拥有 的 所 有 角色 的 权限 集合 的 并 集 决 
定 。 角 色 可 以 有 继承 、 限 制 等 逻辑 关系 ， 并 通过 这 些 关 系 影响 用 户 和 权限 的 实际 对 应 。 在 
整个 访问 控制 过 程 中 ,访问 权限 和 和 角色 相关 联 ， 角 色 再 与 用 户 相 关联 ， 实 现 了 用 户 与 访问 
权限 的 逻辑 分 离 ， 角 色 可 以 看 成 是 一 个 表达 访问 控制 策略 的 语义 结构 ， 它 可 以 表示 承担 特 
定 工作 的 资格 。 


2. 基于 属性 的 访问 控制 


基于 属性 的 访问 控制 主要 针对 面向 服务 的 体系 结构 和 开放 式 网 络 环境 ， 在 这 种 环境 中 ， 
要 能 够 基于 访问 的 上 下 文 建立 访问 控制 策略 ， 处 理 主体 和 客体 的 异 构 性 和 变化 性 。 基 于 角 
色 的 访问 控制 模型 已 不 能 适应 这 样 的 环境 。 基 于 属性 的 访问 控制 不 能 直接 在 主体 和 客体 之 
间 定 义 授权 ， 而 是 利用 它们 关联 的 属性 作为 授权 决策 的 基础 ， 并 利用 属性 表达 式 描述 访问 
策略 。 它 能 够 根据 相关 实体 属性 的 变化 ， 适 时 更 新 访问 控制 决策 ， 从 而 提供 一 种 更 细 粒 度 
的 、 更 加 灵活 的 访问 控制 方法 。 


3. 基于 任务 的 访问 控制 


基于 任务 的 访问 控制 是 一 种 采用 动态 授权 且 以 任务 为 中 心 的 主动 安全 模型 。 在 授予 用 
户 访问 权限 时 ， 不 仅仅 依赖 主体 、 客 体 ， 还 依赖 于 主体 当前 执行 的 任务 和 任务 的 状态 。 当 
任务 处 于 活动 状态 时 ， 主 体 就 拥有 访问 权限 ; 一 旦 任务 被 挂 起 ， 主 体 拥有 的 访问 权限 被 冻 
结 ， 如 果 任 务 恢复 执行 ， 主 体 将 重新 拥有 访问 权限 ; 任务 处 于 终止 状态 时 ， 主 体 拥有 的 权 
限 马 上 被 撤销 。TBAC 从 任务 的 角度 ,对 权限 进行 动态 管理 ,适合 分 布 式 环境 和 多 点 访问 控 
制 的 信息 处 理 控制 ， 但 这 种 技术 的 模型 比较 复杂 。 


4. 基于 对 象 的 访问 控制 

基于 对 象 的 访问 控制 将 访问 控制 列表 与 受 控 对 象 相关 联 ， 并 将 访问 控制 选项 设计 成 为 
用 户 、 组 或 角色 及 其 对 应 权限 的 集合 ， 同 时 允许 策略 和 规则 进行 重用 、 继 承 和 派生 操作 。 
这 对 信息 量 大 、 信 息 更 新 变化 频繁 的 应 用 系统 非常 有 用 ， 可 以 减轻 由 于 信息 资源 的 派生 、 
演化 和 重组 带 来 的 分 配 、 设 定 角色 权限 等 的 工作 量 。 


7.4.3 ”访问 控制 的 基本 原则 


访问 控制 机 制 是 用 来 实施 对 资源 访问 加 以 限制 的 策略 的 机 制 ， 这 种 策略 把 对 资源 的 访 
问 只 限于 那些 被 授权 用 户 。 应 该 建立 起 申请 、 建 立 、 发 出 和 关闭 用 户 授权 的 严格 的 制度 ， 
以 及 管理 和 监督 用 户 操作 责任 的 机 制 。 

为 了 获取 系统 的 安全 ， 授 权 应 该 遵守 访问 控制 的 3 个 基本 原则 。 
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1. 最 小 特权 原则 

最 小 特权 原则 是 系统 安全 中 最 基本 的 原则 之 一 。 所 谓 最 小 特权 (Least Privilege)， 指 的 是 
在 完成 某 种 操作 时 所 赋予 网 络 中 每 个 主体 (用 户 或 进程 ) 必 不 可 少 的 特权 。 最 小 特权 原则 是 指 
应 限定 网 络 中 每 个 主体 所 必需 的 最 小 特权 ， 确 保 可 能 的 事故 、 错 误 、 网 络 部 件 的 自 改 等 原 
因 造 成 的 损失 最 小 。 

最 小 特权 原则 使 得 用 户 所 拥有 的 权力 不 能 超过 他 执行 工作 时 所 需 的 权限 。 最 小 特权 原 
则 一 方面 给 予 主 体 “ 必 不 可 少 ” 的 特权 ， 这 就 保证 了 所 有 的 主体 都 能 在 所 赋予 的 特权 之 下 
完成 所 需要 完成 的 任务 或 操作 ;， 另 一 方面 ， 它 只 给 予 主体 “ 必 不 可 少 ” 的 特权 ， 这 就 限制 
了 每 个 主体 所 能 进行 的 操作 。 

2. 多 人 负责 原则 


多 人 负责 原则 即 授权 分 散 化 ， 对 于 关键 的 任务 必须 在 功能 上 进行 划分 ， 由 多 人 来 共同 
承担 ， 保 证 没有 任何 个 人 具有 完成 任务 的 全 部 授权 或 信息 。 如 将 责任 作 分 解 ， 使 得 没有 一 
个 人 具有 重要 密 钥 的 完整 副本 。 

3. 职责 分 离 原则 

职责 分 离 是 保障 安全 的 一 个 基本 原则 。 职 责 分 离 是 指 将 不 同 的 责任 分 派 给 不 同 的 人 员 
以 期 达到 互相 牵制 、 消 除 一 个 人 执行 两 项 不 相 容 的 工作 的 风险 。 例 如 ， 收 款 员 、 出 纳 员 、 
审计 员 应 由 不 同 的 人 担任 。 计算机 环境 下 也 要 有 职责 分 离 ， 为 避免 安全 上 的 漏洞 ， 有 些许 
可 不 能 同时 被 同一 用 户 获 得 。 


7.4.4 BLP 访问 控制 


BLP 模型 是 由 David Bell 和 Leonard La Padula 于 1973 年 提出 ， 并 于 1976 年 整合 、 完 
善 的 安全 模型 。BLP 模型 的 基本 安全 策略 是 “下 读 上 写 ”， 即 主体 对 客体 向 下 读 、 向 上 写 。 
主体 可 以 读 安全 级 别 比 他 低 或 相等 的 客体 ， 可 以 写 安全 级 别 比 他 高 或 相等 的 客体 。 下 读 上 
写 的 安全 策略 保证 了 数据 库 中 的 所 有 数据 只 能 按照 安全 级 别 从 低 到 高 的 流向 流动 ， 从 而 保 
证 了 敏感 数据 不 被 泄露 。 

1. BLP 安全 模型 

BLP 安全 模型 是 一 种 访问 控制 模型 ， 它 通过 制定 主体 对 客体 的 访问 规则 和 操作 权限 来 
保证 系统 信息 的 安全 性 。BLP 模型 中 基本 安全 控制 方法 有 以 下 两 种 。 

(1) 强制 访问 控制 (MAC)。 它 主要 是 通过 “安全 级 ”来 进行 ， 访 问 控制 通过 引入 “ 安 
全 级 ”“ 组 集 ” 和 “ 格 ” 的 概念 ， 为 每 个 主体 规定 了 一 系列 的 操作 权限 和 范围 。“ 安 全 级 ” 
通常 由 普通 、 秘 密 、 机 密 、 绝 密 4 个 不 同 的 等 级 构成 ， 用 以 表示 主体 的 访问 能 力 和 客体 的 
访问 要 求 。“ 组 集 ” 就 是 主体 能 访问 客体 所 从 属 的 区 域 的 集合 ， 如 “部 门 ”“ 科 室 ”“ 院 系 ” 
等 。 通 过 “ 格 ” 定 义 一 种 比较 规则 ， 只 有 在 这 种 规则 下 ， 主 体 控制 客体 时 才 人 允许 主体 访问 
客体 。 强 制 访问 控制 是 BLP 模型 实现 控制 手段 的 主要 实现 方法 。 

作为 实施 强制 性 安全 控制 的 依据 ， 主 体 和 客体 均 要 求 被 赋予 一 定 的 “安全 级 ”。 其 中 ， 
人 作为 安全 主体 ， 其 “部 门 集 ”表示 他 可 以 涉猎 哪些 范围 内 的 信息 ， 而 一 个 信息 的 部 门 集 
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则 表示 该 信息 所 涉及 的 范围 。 此 处 有 三 点 要 求 : @ 主 体 的 安全 级 高 于 客体 ， 当 且 仅 当主 体 
的 密级 高 于 客体 的 密级 ， 且 主体 的 部 门 集 包含 客体 的 部 门 集 @ 主 体 可 以 读 客体 ， 当 且 仅 
当主 体 安 全 级 高 于 或 等 于 客体 ; @ 主 体 可 以 写 客体 ， 当 且 仅 当主 体 安全 级 低 于 或 等 于 客体 。 

BLP 强制 访问 策略 将 每 个 用 户 及 文件 赋予 一 个 访问 级 别 ， 如 最 高 秘密 级 (Top Secret)、 
秘密 级 (Secret)、 机 密级 (Confidential) 和 无 级 别 级 (Unclassified)， 其 级 别 依 次 降低 ， 系 统 根据 
主体 和 客体 的 敏感 标记 来 决定 访问 模式 。 访 问 模式 如 下 。 

@ 下 读 (Read Down): 用 户 级 别 大 于 文件 级 别 的 读 操 作 。 

@ 上 写 (Write Up): 用 户 级 别 小 于 文件 级 别 的 写 操作 。 

@ 下 写 (Write Down): 用 户 级 别 等 于 文件 级 别 的 写 操作 。 

@ 上 读 (Read Up): 用 户 级 别 小 于 文件 级 别 的 读 操作 。 

(2) 自主 访问 控制 (DAC) 也 是 BLP 模型 中 非常 重要 的 实现 控制 的 方法 。 它 通过 客体 的 
属 主 自行 决定 其 访问 范围 和 方式 ， 实 现 对 不 同 客体 的 访问 控制 。 在 BLP 模型 中 ， 自 主 访问 
控制 是 强制 访问 控制 的 重要 补充 和 完善 。 

主体 对 其 拥有 的 客体 ， 有 权 决 定 自己 和 他 人 对 该 客体 应 具有 怎样 的 访问 权限 。 最 终 的 
结果 是 ， 在 BLP 模型 的 控制 下 ， 主 体 要 获取 对 客体 的 访问 ， 必 须 同时 通过 MAC 和 DAC 两 
种 安全 控制 方法 。 

依据 BLP 安全 模型 所 制定 的 原则 , 是 利用 不 上 读 /不 下 写 来 保证 数据 的 保密 性 , 如 图 7-6 
所 示 。 即 不 允许 低 信 任 级 别 的 用 户 读 高 敏感 度 的 信息 ， 也 不 允许 高 敏感 度 的 信息 写 入 低 敏 
感度 区 域 ， 禁 止 信息 从 高 级 别 流向 低级 别 。 强 制 访问 控制 通过 这 种 梯度 安全 标签 实现 信息 
的 单 向 流通 。 
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2. BLP 安全 模型 的 优 缺 点 

1) ”BLP 模型 的 优点 

(1) 它 是 一 种 严格 的 形式 化 描述 。 

(2) 控制 信息 只 能 由 低 向 高 流动 ， 能 满足 军事 部 门 等 对 数据 保密 性 要 求 特 别 高 的 机 构 
的 需求 。 

2) ”BLP 模型 的 缺点 

(1) 上 级 对 下 级 发 文 受到 限制 。 

(2) 部 门 之 间 信 息 的 横向 流动 被 禁止 。 

(3) 缺乏 灵活 、 安 全 的 授权 机 制 。 
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7.4.5 基于 角色 的 访问 控制 


基于 角色 的 访问 控制 Role-Based Access Control，RBAC) 是 美国 NIST 提出 的 一 种 新 的 
访问 控制 技术 。 该 技术 的 基本 思想 是 将 用 户 划分 成 与 其 组 织 结构 体系 相 一 致 的 角色 ， 通 过 
将 权限 授予 角色 而 不 是 直接 授予 主体 ， 主 体 通过 角色 分 派 得 到 客体 操作 权限 从 而 实现 授权 。 
由 于 角色 在 系统 中 具有 相对 于 主体 的 稳定 性 ， 并 便于 直观 理解 ， 从 而 大 大 减少 了 系统 授权 
管理 的 复杂 性 ， 降 低 了 安全 管理 员 的 工作 复杂 性 和 工作 量 。 

在 RBAC 的 发 展 过 程 中 ， 最 早出 现 的 是 RBAC96 模型 和 ARBAC97 模型 ， 此 处 只 对 
RBAC96 模型 进行 介绍 。RBAC96 模型 的 成 员 包 括 RBAC0、RBAC1、RBAC2、RBAC3 。 
RBAC0 是 基于 角色 访问 控制 模型 的 基本 模型 ， 规 定 了 RBAC 模型 所 必需 的 最 小 需求 ; 
RBAC1 为 角色 层次 模型 ， 在 RBACO0 的 基础 上 加 入 了 角色 继承 关系 ， 可 以 根据 组 织 内 部 职 
责 和 权力 来 构造 角色 与 角色 之 间 的 层次 关系 ; RBAC2 为 角色 限制 模型 ， 在 RBAC1 的 基础 
上 加 入 了 各 种 用 户 与 角色 之 间 、 权 限 与 角色 之 间 以 及 角色 与 角色 之 间 的 限制 关系 ， 如 角色 
互 斥 、 角 色 最 大 成 员 数 、 前 提 和 角色 和 前 提 权 限 等 ，RBAC3 为 统一 模型 ， 它 不 仅 包括 角色 的 
继承 关系 ， 还 包括 限制 关系 ， 是 对 RBAC1 和 RBAC?2 的 集成 。 

基于 角色 访问 控制 的 要 素 包 括 用 户 、 角 色 、 许 可 等 基本 定义 。 在 RBAC 中 ， 用 户 就 是 
一 个 可 以 独立 访问 计算 机 系统 中 的 数据 或 者 用 数据 表示 的 其 他 资源 的 主体 。 角 色 是 指 一 个 
组 织 或 任务 中 的 工作 或 者 位 置 ， 它 代表 了 一 种 权利 、 资 格 和 责任 。 许 可 (特权 ) 就 是 允许 对 一 
个 或 多 个 客体 执行 的 操作 。 一 个 用 户 可 经 授权 而 拥有 多 个 角色 ， 一 个 角色 可 由 多 个 用 户 构 
成 ; 每 个 角色 可 拥有 多 种 许可 ， 每 个 许可 也 可 授权 给 多 个 不 同 的 角色 。 每 个 操作 可 施加 于 
多 个 客体 ( 受 控 对 象 ), 每 个 客体 也 可 以 接受 多 个 操作 。 上述 要 素 的 实现 形式 包括 以 下 几 方面 。 

(1) 用 户 表 (USERS) 包 括 用 户 标识 、 用 户 姓名 、 用 户 登 录 密 码 。 用 户 表 是 系统 中 的 个 体 
用 户 集 ， 随 用 户 的 添加 与 删除 动态 变化 。 

(2) 角色 表 (ROLES) 包 括 角色 标识 、 角 色 名 称 、 角 色 基 数 、 角 色 可 用 标识 。 角 色 表 是 系 
统 角 色 集 ， 由 系统 管理 员 定义 角色 。 

(3) 客体 表 (OBJECTS) 包 括 对 象 标识 、 对 象 名 称 .客体 表 是 系统 中 所 有 受 控 对 象 的 集合 。 

(4) 操作 算 子 表 (OPERATIONS) 包 括 操 作 标 识 、 操 作 算 子 名 称 。 系统 中 所 有 受 控 对 象 的 
操作 算 子 构成 操作 算 子 表 。 

(5) 许可 表 (PERMISSIONS) 包 括 许可 标识 、 许 可 名 称 、 受 控 对 象 、 操 作 标识 。 许 可 表 
给 出 了 受 控 对 象 与 操作 算 子 的 对 应 关系 。 

RBAC 系统 由 RBAC 数据 库 、 身份 认证 模块 、 系 统管 理 模块 、 会 话 管理 模块 组 成 -RBAC 
数据 库 与 各 模块 的 对 应 关系 见 图 7-7。 

身份 认证 模块 通过 用 户 标 识 、 用 户口 令 确认 用 户 身 份 。 此 模块 仅 使 用 RBAC 数据 库 的 
USERS 表 。 

系统 管理 模块 主要 完成 用 户 增 减 (使 用 USERS 表 )、 角 色 增 减 (使 用 ROLES 表 )、 用 户 / 
角色 的 分 配 (使 用 USERS 表 、ROLES 表 、 用 户 /角色 分 配 表 、 用 户 / 角 色 授 权 表 )、 和 角色 /许可 
的 分 配 (使 用 ROLES 表 、PERMISSIONS 表 、 角 色 / 许 可 授权 表 )、 定 义 角 色 间 的 关系 (使 用 
ROLES 表 、 角 色 层 次 表 、 静 态 互 斥 角色 表 、 动 态 互 斥 角色 表 )， 其 中 每 个 操作 都 带 有 参数 ， 
每 个 操作 都 有 一 定 的 前 提 条 件 ， 操 作 使 RBAC 数据 库 发 生动 态 变化 。 系 统管 理 员 使 用 该 模 
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。 。 块 初 始 化 RBAC 数据 库 并 维护 RBAC 数据 库 。 





角色 /许可 分 配 
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图 7-7 RBAC 数据 库 与 各 模块 的 对 应 关系 


系统 管理 模块 的 操作 包括 添加 用 户 、 删 除 用 户 、 添 加 角色 、 删 除 角 色 、 设 置 角色 可 用 
性 、 为 角色 增加 许可 、 取 消 角 色 的 某 个 许可 、 为 用 户 分 配角 色 、 取 消 用 户 的 某 个 角色 、 设 
置 用 户 授权 角色 的 可 用 性 、 添 加 角色 继承 关系 、 取 消 角 色 继 承 、 添 加 一 个 静态 角色 互 斥 关 
系 、 删 除 一 个 静态 角色 互 斥 关系 、 添 加 一 个 动态 角色 互 斥 关系 、 删 除 一 个 动态 角色 互 斥 关 
系 、 设 置 角色 基数 。 

会 话 管理 模块 结合 RBAC 数据 库 管 理会 话 ， 包 括 会 话 的 创建 与 取消 以 及 对 活跃 角色 的 
管理 。 此 模块 使 用 USERS 表 、ROLES 表 、 动 态 互 斥 角色 表 、 会 话 表 和 活跃 角色 表 。 

RBAC 系统 的 运行 步骤 如 下 。 

(1) 用 户 登录 时 向 身份 认证 模块 发 送 用 户 标识 、 用 户口 令 ， 确 认 用 户 身 份 。 

(2) 会 话 管理 模块 从 RBAC 数据 库 检 索 该 用 户 的 授权 角色 集 并 送 回 用 户 。 

(3) 用 户 从 中 选择 本 次 会 话 的 活跃 角色 集 ， 在 此 过 程 中 会 话 管理 模块 维持 动态 角色 互 斥 。 

(4) 会 话 创建 成 功 ， 本 次 会 话 的 授权 许可 体现 在 菜单 与 按钮 上 ， 如 不 可 用 则 显示 为 灰色 。 

在 此 会 话 过 程 中 ， 系 统管 理 员 若 要 更 改 角色 或 许可 ， 可 在 此 会 话 结束 后 进行 或 终止 此 
会 话 立 即 进行 。 


7.5 公 钥 基础 设施 


首先 我 们 看 下 面 的 例子 。Alice 和 Bob 准备 进行 如 下 的 秘密 通信 : 

Alice 一 Bob: 我 叫 Alice， 我 的 公开 密 钥 是 Ka， 你 选择 一 个 会 话 密 钥 了 K， 用 Ks 加密 后 
Bob 一 Alice: 使 用 KK 加 密会 话 密 钥 及 。 

Alice~~Bob: 使 用 玉 加密 传 输 信 息 。 

Bob 一 Alice: 使 用 区 解密 传输 信息 。 
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如 果 Callory 是 Alice 和 Bob 通信 线路 上 的 一 个 攻击 者 , 并 且 能 够 截获 传输 的 所 有 信息 ， 
Callory 将 会 截取 Alice 的 公开 密 钥 Ka 并 将 自己 的 公开 密 钥 Km 传送 给 Bob。 当 Bob 用 Alice 
的 公开 密 钥 (实际 上 是 Callory 的 公开 密 钥 ) 加 密会 话 密 钥 K 传送 给 Alice 时 , Callory 截获 它 ， 
并 用 他 的 私 钥 解密 获取 会 话 密 钥 K， 然 后 再 用 Alice 的 公开 密 钥 重新 加 密会 话 密 钥 KK， 并 将 
它 传送 给 Alice。 由 于 Callory 截获 了 Alice 与 Bob 的 会 话 密 钥 K， 从 而 可 以 获取 他 们 的 通信 
内 容 并 且 不 被 发 现 。Callory 的 这 种 攻击 称 为 中 间 人 攻击 。 

上 述 攻 击 成 功 的 本 质 在 于 Bob 收 到 的 Alice 的 公开 密 钥 可 能 是 攻击 者 假冒 的 , 即 无 法 确 
定 获取 的 公开 密 钥 的 真实 身份 ， 从 而 无 法 保证 信息 传输 的 保密 性 、 不 可 否认 性 、 数 据 交换 
的 完整 性 。 为 了 解决 这 些 安全 问题 ， 目 前 初步 形成 了 一 套 完整 的 mtemet 安全 解决 方案 ， 即 
广泛 采用 的 公 钥 基础 设施 (Public Key Infrastructure，PKD)。 


7.5.1 PKI 结构 


PKI 的 核心 是 证 书 授权 (Certificate Authority, CA) 中 心 。 CA 中 心 是 受 一 个 或 多 个 用 户 信 
任 ， 提 供用 户 身份 验证 的 第 三 方 机 构 ， 承 担 公 钥 体 系 中 公 钥 的 合法 性 检验 的 责任 。 

目前 , 我 国 一 些 单位 和 部 门 已 建成 了 自己 的 CA 中 心 体系 。 其 中 较 有 影响 力 的 如 中 国电 
信 CA 安全 认证 体系 (CTCA)、 上 海 电子 商务 CA 认证 中 心 (SHECA) 和 中 国 金 融 认证 中 心 
(CFCA) 等 。 

根据 CA 中 心间 的 关系 ，PKI 的 体系 结构 可 以 有 3 种 情况 : 单个 CA 中 心 、 分 级 (层次 ) 
结构 的 CA 中 心 和 网 状 结构 的 CA 中 心 。 

1. 单个 CA 中 心 

单个 CA 中 心 的 结构 是 最 基本 的 PKI 结构 ，PKI 中 的 所 有 用 户 对 此 单个 CA 给 予 信任 ， 
它 是 PKI 系统 内 单一 的 用 户 信 任 点 ， 它 为 PKI 中 的 所 有 用 户 提 供 PKI 服务 。 

这 种 结构 只 需 建 立 一 个 根 CA， 所 有 的 用 户 都 能 通过 该 CA 实现 相互 认证 ， 但 单个 CA 
的 结构 不 易 扩展 到 支持 大 量 的 或 者 不 同 的 群体 的 用 户 。 

2. 分 级 (层次 ) 结 构 的 CA 中 心 

一 个 以 主 从 CA 关系 建立 的 PKI 称 作 分 级 (层次 ) 结 构 的 PKI。 在 这 种 结构 下 ， 所 有 的 用 
户 都 信任 最 高 层 的 根 CA， 上 一 层 CA 向 下 一 层 CA 发 放 公 钥 证 书 。 若 一 个 持 有 由 特定 CA 
发 证 公 钥 的 用 户 要 与 由 另 一 个 CA 发 放 公 钥 证 书 的 用 户 进行 安全 通信 ， 需 要 解决 跨 域 的 认 
证 ， 这 一 认证 过 程 在 于 建立 一 个 从 根 出 发 的 可 信赖 的 证 书 链 。 

分 级 结构 的 PKI 依赖 于 一 个 单一 的 可 信任 点 根 CA。 根 CA 安全 性 的 削弱 ,将 导致 整个 
PKI 系统 安全 性 的 削弱 ， 根 CA 的 故障 对 整个 PKI 系统 是 灾难 性 的 。 


3. 网 状 结构 的 CA 中 心 


以 对 等 CA 关系 建立 的 交叉 认证 扩展 了 CA 域 之 间 的 第 三 方 信任 关系 , 这 样 的 PKI 系统 
称 为 网 状 结构 的 PKI。 

完整 的 PKI 包括 认证 策略 的 制定 、 认 证 规则 、 运 作 制 度 的 制定 、 所 涉及 的 各 方法 律 关 
系 内容 以 及 技术 的 实现 。 从 功能 上 来 说 , 一 个 CA 中 心 可 以 划分 为 接收 用 户 证 书 申请 的 证 书 
受理 者 (RS)、 证 书 发 放 的 审核 部 门 Registration Authority，RA)、 证 书 发 放 的 操作 部 门 (CP)， 
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以 及 记录 证 书 作 废 的 证 书 作 废 表 (又 叫 黑 名 单 CRL)。 

(1) RA 负责 对 证 书 申请 者 进行 资格 审查 ， 并 决定 是 否 同意 给 该 申请 者 发 放 证 书 ， 如 果 
审核 错误 或 为 不 满足 资格 的 人 发 放 了 证 书 ， 所 引起 的 一 切 后 果 都 由 该 部 门 承担 。 

(2) CP 负责 为 已 授权 的 申请 者 制作 、 发 放 和 管理 证 书 ， 并 承担 因 操 作 运营 错误 所 造成 
的 一 切 后 果 ， 包 括 失 密 和 为 未 获得 授权 者 发 放 证 书 等 ， 它 可 以 由 审核 授权 部 门 自己 担任 ， 
也 可 以 委托 给 第 三 方 担任 。 

(3) RS 用 于 接受 用 户 的 证 书 申请 请 求 ， 转 发 给 CP 和 RA 进行 响应 处 理 。 

(4) CRL 记录 尚未 过 期 但 已 经 声明 作废 的 用 户 证 书 序列 号 ， 供 证 书 使 用 者 在 认证 与 之 
通信 的 对 方 证 书 是 否 作 废 时 查询 。 


7.5.2 证 书 及 格式 


证 书 是 公开 密 钥 体 制 的 一 种 密 钥 管理 媒介 。 证 书 提供 了 一 种 在 Internet 上 验证 身份 的 方 
式 ， 其 作用 类 似 于 司机 的 驾驶 执照 或 日 常生 活 中 的 身份 证 。 证 书包 含 了 能 够 证 明证 书 持 有 
者 身份 的 可 靠 信息 ， 是 持 有 者 在 网 络 上 证 明 自己 身份 的 凭证 。 

证 书 是 由 权威 机 构 CA 中 心 发 行 的 证 书 一 方面 可 以 用 来 向 系统 中 的 其 他 实体 证 明 自 己 
的 身份 ， 另 一 方面 由 于 每 份 证 书 都 携带 着 证 书 持 有 者 的 公 钥 ， 所 以 证 书 也 可 以 向 接收 者 证 
实 某 人 或 某 个 机 构 对 公开 密 钥 的 拥有 ， 同 时 也 起 着 公 钥 分 发 的 作用 。 

证 书 的 格式 遵循 ITU-T X.509 标准 。 该 标准 是 为 了 保证 使 用 数字 证 书 的 系统 间 的 互 操 作 
性 而 制定 的 。 证 书 内 容 包 括 : 版 本 、 序 列 号 、 签 名 算法 标识 、 签 发 者 、 有 效 期 、 主 体 、 主 
体 公开 密 钥 信息 、CA 的 数字 签名 、 可 选项 等 。 


7.5.3 证书 授权 中 心 


证 书 授权 中 心 在 PKI 中 扮演 可 信任 的 代理 角色 。 只 要 用 户 相信 一 个 CA 及 其 发 行 和 管 
理 证 书 的 商业 策略 ， 用 户 就 能 相信 由 该 CA 颁发 的 证 书 ， 即 第 三 方 信任 。CA 负责 产生 、 分 
配 并 管理 PKI 结构 下 的 所 有 用 户 的 证 书 ， 把 用 户 的 公 钥 和 其 他 信息 捆绑 在 一 起 ， 证 书 上 的 
CA 签名 保证 了 证 书 的 内 容 不 被 算 改 。 

认证 机 构 在 发 放 证 书 时 要 遵循 一 定 的 准则 ， 如 要 保证 自己 发 出 的 证 书 的 序列 号 没有 相 
同 的 ， 没 有 两 个 不 同 的 实体 获得 的 证 书 中 的 主体 内 容 是 一 致 的 ， 不 同 主体 内 容 的 证 书 所 包 
含 的 公开 密 钥 要 不 相同 等 。 

CA 的 功能 包括 证 书 发 放 、 证 书 更 新 、 证 书 撤销 和 证 书 验 证 ， 它 的 核心 功能 就 是 发 放 和 
管理 数字 证 书 , 具体 描述 如 下 : 签发 自 签名 的 根 证 书 、 审 核 和 签发 其 他 CA 系统 的 交叉 认证 
证 书 、 向 其 他 CA 系统 申请 交叉 认证 证 书 、 受 理 和 审核 各 注册 审批 机 构 (RA) 的 申请 、 为 RA 
机 构 签发 证 书 、 接 收 并 处 理 各 RA 服务 器 的 证 书 业务 请 求 、 证 书 的 审批 (确定 是 否 接受 用 户 
数字 证 书 的 申请 )、 证 书 的 发 放 (向 申请 者 颁发 或 拒绝 颁发 数字 证 书 )、 证 书 的 更 新 (接收 并 处 
理 最 终 用 户 的 数字 证 书 更 新 请 求 )、 接 收 用 户 数 字 证 书 的 撤销 请 求 、 产 生 和 发 布 证 书 作 废 表 
CRL、 管 理 全 系统 的 用 户 资料 、 管 理 全 系统 的 证 书 资料 、 维 护 全 系统 的 证 书 作废 表 、 维 护 
全 系统 的 证 书 在 线 验 证 系统 (Online Certificate Status Authentication System，OCSAS) 查 询 数 
据 、 密 钥 备 份 、 历 史 数据 归档 。 





















机 


-全 


〖 革 77 二 IIEEEEREEEEERS 下川 咱 咱 川 加 





EE LI LIL LI LI 小 结 1m! In| NIN I | 











接 入 安全 是 物 联 网 安全 的 基础 和 核心 ， 对 物 联网 的 安全 研究 具有 十 分 重要 的 意义 。 本 
章 首先 将 物 联网 的 接 入 安全 分 为 节点 接 入 安全 、 网 络 接 入 安全 和 用 户 接 入 安全 ， 分 析 了 其 
相关 的 概念 及 涉及 的 安全 问题 。 然 后 对 物 联网 接 入 安全 中 的 信任 管理 、 身 份 认证 、 访 问 控 
制 等 进行 了 全 面 的 介绍 ， 分 析 了 其 各 自 的 优 缺 点 。 通 过 学 习 本 章 内 容 ， 读 者 可 以 更 快 地 掌 
握 信 息 接 入 安全 技术 的 方法 。 


C2 作 


2 Oo 
会 物 联网 的 网 络 安全 技术 
分 析 


学 习 导读 


随 着 互联 网 的 快速 发 展 和 广泛 应 用 ， 如 何 保护 网 络 系统 中 软 、 硬 
件 资源 免 受 偶然 或 者 恶意 的 破坏 ， 成 为 网 络 系统 吾 待 解决 的 根本 问题 
之 一 。 本 章 将 介绍 计算 机 系统 中 存在 的 安全 问题 ， 以 及 针对 该 问题 应 
采取 的 安全 措施 。 
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8.1 系统 安全 


8.1.1 系统 安全 的 范畴 
1. 嵌入 式 节点 安全 


随 着 物 联网 技术 的 迅 狐 发 展 ， 人 们 对 于 嵌入 式 节 点 的 功能 和 性 能 要 求 也 越 来 越 高 ， 妖 
入 式 系统 在 物 联网 中 的 作用 也 越 来 越 重要 。 典 入 式 系统 的 安全 将 成 为 物 联网 安全 中 的 一 个 
非常 重要 的 问题 。 典 入 式 设备 的 互联 与 移动 特性 日 益 突出 ， 从 而 增强 了 对 互联 和 安全 性 的 
要 求 。 虽 然 可 以 借鉴 桌面 系统 的 安全 增强 方法 ， 但 因为 硬件 资源 和 开发 环境 电源 等 因素 的 
限制 ， 嵌 入 式 系统 的 安全 比 桌 面 系统 更 加 复杂 。 

由 于 嵌入 式 系统 对 计算 能 力 、 面 积 、 内 存 、 能 量 等 有 着 严格 的 资源 约束 ， 因 此 ， 直 接 
将 通用 计算 机 系统 的 安全 机 制 应 用 到 嵌入 式 系统 是 不 合适 的 。 与 通用 计算 机 系统 相 比 ， 顽 
入 式 系统 主要 面临 以 下 安全 挑战 。 

(1) 资源 受 限 : 在 通用 计算 机 系统 中 ， 内 存 容 量 、CPU 计算 能 力 和 能 量 消耗 等 资源 因 
素 通常 不 是 安全 方案 的 主要 关注 点 ， 而 嵌入 式 系统 对 这 些 方面 却 十 分 敏感 。 

(2) 物理 可 获取 : 一 些 嵌 入 式 设 备 具 有 便携 和 可 移动 的 特点 ， 这 些 设 备 在 物理 层 容易 
被 窃取 或 破坏 ， 同 时 对 存储 在 嵌入 式 设备 中 的 敏感 数据 构成 严重 威胁 。 

(3) 恶劣 的 工作 环境 : 与 通用 计算 机 系统 的 工作 环境 不 同 ， 许 多 嵌入 式 系统 要 求 在 不 
信任 的 环境 中 工作 ， 甚 至 在 被 不 信任 的 实体 获取 后 也 能 保持 正常 工作 。 

(4) 严格 的 稳定 性 和 灵活 性 : 一 些 嵌 入 式 系统 控制 着 关乎 国家 安全 的 重大 设施 ， 如 电 
网 、 核 设施 等 ， 要 求 更 加 严格 的 稳定 性 和 灵活 性 。 

(5) 复杂 的 设计 过 程 : 为 了 满足 严密 的 设计 周期 和 费用 限制 ， 复 杂 的 嵌入 式 系统 实现 
的 部 件 可 能 来 源 于 不 同 的 公司 或 组 织 ， 即 使 系统 的 每 一 个 部 件 本 身 是 安全 的 ， 部 件 间 的 集 
成 也 可 能 暴露 出 新 的 问题 。 

一 个 安全 的 嵌入 式 系统 整体 结构 包括 安全 的 底层 硬件 设备 、 安 全 的 嵌入 式 操 作 系统 、 
安全 的 应 用 程序 。 因 此 ， 媒 入 式 系统 的 设计 需要 通盘 考虑 安全 问题 ， 综 合 考虑 成 本 、 性 能 
和 功 耗 等 因素 ， 构 建 出 一 个 完整 的 安全 体系 结构 。 由 于 通过 软件 设计 很 难保 证 全 面 的 系统 
安全 性 ， 这 就 需要 借助 硬件 保证 系统 的 安全 性 ， 降 低 设 计 的 复杂 度 。 由 于 各 类 加 密 算法 已 
经 具有 比较 好 的 安全 强度 ， 因 此 ， 风 入 式 系统 安全 设计 的 重点 在 硬件 保护 的 设计 上 ， 而 不 
是 在 加 密 算 法 上 。 就 目前 的 软 硬 件 环境 而 言 ， 未 来 的 嵌入 式 系统 安全 技术 的 发 展 趋势 将 是 
以 软 人 硬件 相 结合 为 主导 。 


2. 网 络 通信 系统 安全 


网 络 通信 系统 的 安全 是 系统 安全 中 非常 重要 的 组 成 部 分 ， 安 全 协议 是 通信 安全 保障 的 
灵 瑰 。 安 全 协议 是 通过 一 系列 步 又 定义 的 分 布 式 算法 ， 这 些 步 又 规定 了 两 方 或 多 方 主体 为 
达到 某 个 安全 目标 要 采取 的 动作 。 其 目的 是 在 网 络 信道 不 可 靠 的 情况 下 ， 确 保 通 信安 全 以 
及 传输 数据 的 安全 。 为 了 实现 不 同 的 信息 安全 需求 ， 需 要 借助 于 不 同类 型 的 安全 协议 来 达 
到 相应 的 目标 ， 使 用 适当 的 安全 机 制 加 以 实现 。 根 据 安全 目标 的 不 同 ， 安 全 协议 分 为 保密 
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协议 、 密 钥 建 立 协议 、 认 证 协议 、 公 平 交换 协议 、 电 子 投票 协议 等 。 

各 种 安全 机 制 ， 例 如 加 密 、 签 名 、 认 证 码 等 ， 都 是 通过 安全 协议 在 实际 应 用 中 发 挥 作 
用 。 具 体 的 安全 机 制 通常 并 不 直接 面向 用 户 的 安全 需求 ， 而 是 通过 安全 协议 来 实现 的 。 事 
实 上 ， 所 有 的 信息 交换 必须 在 一 定 的 协议 规范 下 完成 ， 并 且 所 有 密码 手段 都 将 通过 安全 协 
议 来 发 挥 自己 的 作用 。 形 象 地 说 ， 门 锁 就 像 密码 机 制 一 样 ， 是 保障 房间 安全 的 手段 ， 而 协 
议 就 像 门 一 样 ， 通 过 将 锁 安装 在 门 上 ， 实 现 对 房间 的 安全 保护 。 协 议 分 析 可 以 比喻 为 分 析 
一 把 锁 在 门 上 安装 的 位 置 、 方 法 等 是 否 合理 来 确定 其 能 否 达 到 保护 房间 的 目的 。 根 据 采用 
的 安全 机 制 不 同 ， 安 全 协议 通常 被 分 为 对 称 加 密 、 非 对 称 加 密 和 签名 协议 、 承 诺 和 零 知 识 
证 明 协 议 等 。 

安全 协议 还 是 各 种 安全 信息 系统 之 间 的 纽带 。 因 为 在 网 络 的 层次 结构 中 ， 从 硬件 层面 
来 看 ， 网 络 是 计算 机 的 纽带 : 从 软件 层面 来 看 ， 协 议 是 信息 系统 间 的 纽带 ， 而 安全 协议 是 
安全 信息 系统 之 间 的 关键 和 纽带 。 人 们 通常 将 软件 比 作 计算 机 的 灵魂 ， 那 么 ， 在 网 络 环境 
下 ， 安 全 协议 就 是 信息 安全 保障 的 灵魂 。 没 有 安全 的 协议 ， 就 没有 信息 的 安全 传输 和 存储 ， 
网 络 信息 的 安全 需求 将 无 法 得 到 满足 。 可 见 ， 对 于 信息 安全 保障 来 说 ， 安 全 需求 是 目标 ， 
安全 机 制 是 手段 ， 网 络 是 载体 ， 安 全 协议 是 关键 和 灵魂 。 

安全 认证 是 网 络 安全 中 一 个 非常 重要 的 问题 ， 一 般 分 为 节点 身份 认证 和 信息 认证 两 种 。 
身份 认证 又 称 为 实体 认证 ， 是 接 入 控制 的 核心 环节 ， 是 网 络 中 的 一 方 根据 某 种 协议 规范 确 
认 另 一 方 身份 并 允许 其 做 与 身份 对 应 的 相关 操作 的 过 程 。 

无 线 传感器 节点 部 署 到 工作 区 域 之 后 ， 首 先 要 进行 邻居 节点 之 间 以 及 节点 和 汇聚 节点 
(Sink) 或 基站 之 间 的 合法 身份 认证 ， 为 所 有 节点 接 入 网 络 提 供 安全 准 入 机 制 。 随 着 不 可 信 节 
点 被 发 现 、 旧 节点 能 量 耗 尽 以 及 新 节点 的 加 入 等 新 情况 的 出 现 ， 一 些 节点 需要 从 合法 节点 
列表 中 清除 ， 不 同时 段 新 部 署 的 节点 需要 通过 旧 节 点 的 合法 身份 认证 完成 入 网 手续 。 来 自 
汇聚 节点 或 基站 的 控制 信息 要 传达 到 每 个 节点 ， 需 要 通过 节点 间 的 多 跳 转 发 。 必 须 引 入 认 
证 机 制 对 控制 信息 发 布 源 进行 身份 验证 ， 确 保 信 息 的 完整 性 ， 同 时 防止 非法 或 “可 疑 ” 节 
点 在 控制 信息 的 发 布 传递 过 程 中 伪造 或 对 控制 信息 进行 算 改 。 

身份 认证 和 控制 信息 认证 过 程 都 需要 使 用 认证 密 钥 。 在 无 线 传 感 网 的 安全 机 制 中 ， 密 
钥 的 安全 性 是 基础 ， 相 应 的 密 钥 管理 是 传感器 网 络 安全 中 最 基本 的 问题 。 认 证 密 钥 
(Authentication Key) 和 通信 密 钥 (Session Key) 同 属于 无 线 传 感 网 中 密 钥 管理 的 对 象 实 体 ， 前 
者 保障 了 认证 安全 ， 后 者 直接 为 节点 间 的 加 、 解 密 安全 通信 提供 服务 。 

无 线 传 感 网 的 认证 过 程 如 图 8-1 所 示 。 

1) “初始 化 认证 阶段 

传 感 节点 一 旦 部 署 到 工作 区 域 ， 首 先 要 进行 相 邻 节点 身份 的 安全 认证 ， 通 过 认证 即 成 
为 可 信任 的 合法 节点 。 

2) ”身份 认证 管理 

第 一 种 情况 : 部 分 节点 能 量 即将 耗 尽 或 已 经 耗 尽 ， 这 些 节点 的 “死亡 ”状况 以 主动 通 
告 或 被 动 查询 的 方式 反映 到 邻居 节点 并 最 终 反 馈 到 汇聚 节点 或 基站 处 ， 这 些 节点 的 身份 ID 
将 从 合法 节点 列表 中 剔除 。 为 防止 敌 方 利 用 这 些 节点 的 身份 信息 发 起 冒充 或 伪造 节点 攻击 ， 
这 个 过 程 中 的 认证 交互 通信 必须 进行 加 密 保 护 。 此 外 ， 当 某 些 节点 被 敌 方 俘获 ， 这 些 节点 
同样 必须 被 及 时 从 合法 列表 中 剔除 并 通告 全 网 。 
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汇聚 节点 一 -一 双向 身份 认证 (初始 化 阶段 ) 
一 一 > 单 向 消息 认证 (汇聚 节点 命令 广播 ) 


图 8-1 无 线 传 感 网 的 认证 过 程 


第 二 种 情况 : 随 着 老 节点 能 量 耗 尽 以 及 不 可 靠 节点 被 剔除 ， 需 要 新 的 节点 加 入 网 络 ， 
新 节点 到 位 后 要 和 周围 的 旧 节 点 实现 身份 的 双向 安全 认证 ， 以 防止 敌 方 发 起 的 节点 冒充 、 
伪造 新 节点 、 拒 绝 服务 (DoS) 等 攻击 。 

3) ”控制 信息 认证 
随 着 工作 进程 的 推进 ， 可 能 需要 节点 采集 不 同 的 数据 信息 ， 采 集 任务 的 更 换 命令 一 般 
由 汇聚 节点 或 基站 向 周围 广播 发 布 。 在 覆盖 面积 大 、 节 点 数量 多 的 应 用 场景 中 ， 控 制 信息 
必然 要 经 由 中 转 节点 路 由 ， 以 多 跳 转发 的 方式 传递 到 目标 节点 群 。 与 普通 节点 一 样 ， 中 转 
节点 面临 被 敌 方 窃听 甚至 被 俘获 的 安全 威胁 ， 要 确保 控制 信息 转发 过 程 的 安全 可 靠 ， 就 必 
须 对 逐 跳 转发 进行 安全 认证 ， 确 保 控 制 信息 源头 的 准确 性 以 及 信息 本 身 的 完整 性 和 机 密 性 ， 
保证 信息 不 被 转发 节点 算 改 和 信息 内 容 不 被 非 网 内 节点 掌握 。 


3. 存储 系统 安全 


数据 是 最 核心 的 资产 ， 存 储 系统 作为 数据 的 保存 空间 ， 是 数据 保护 的 最 后 一 道 防线 。 
随 着 存储 系统 由 本 地 直 连 向 着 网 络 化 和 分 布 式 的 方向 发 展 ， 并 被 网 络 上 的 众多 计算 机 共享 ， 
网 络 存储 系统 变 得 更 易 受 到 攻击 。 存 储 安全 变 得 至 关 重要 ， 安 全 存储 技术 主要 包括 存储 安 
全 技术 、 重 复数 据 删 除 技术 、 数 据 备份 及 灾难 恢复 技术 等 。 

经 过 近 几 年 的 发 展 ， 网 络 存储 已 演变 为 多 个 系统 共享 的 一 种 资源 。 各 类 存储 设备 必须 
保护 各 个 系统 上 的 有 价值 的 数据 ， 防 止 其 他 系统 未 经 授权 访问 数据 或 破坏 数据 。 相 应 地 ， 
存储 设备 必须 防止 未 被 授权 的 设置 改动 ， 对 所 有 的 更 改 都 要 做 审计 跟踪 。 

存储 安全 是 客户 安全 计划 的 一 部 分 ， 也 是 数据 中 心安 全 和 组 织 安全 的 一 部 分 。 如 果 只 
保护 存储 的 安全 而 将 整个 系统 向 互联 网 开放 ， 这 样 的 存储 安全 是 毫 无 意义 的 。 

在 实践 中 ， 建 立 存储 安全 需要 专业 的 知识 ， 留 意 细节 ， 不 断 检 查 ， 确 保存 储 解决 方案 
继续 满足 业务 不 断 改动 的 需要 ， 减 少 诸如 伪造 回复 地 址 这 样 的 威胁 。 安 全 的 本 质 是 在 三 方 
面 达 到 平衡 ， 即 采取 安全 措施 的 成 本 、 安 全 缺口 带 来 的 影响 、 入 侵 者 要 突破 安全 措施 所 需 
要 的 资源 。 
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从 原理 上 来 说 ， 安 全 存储 要 解决 两 个 问题 : 第 一 是 保证 文件 数据 完整 可 靠 不 泄密 ; 第 
二 是 保证 只 有 合法 的 用 户 才能 够 访问 相关 的 文件 。 

要 解决 上 述 两 个 问题 ， 需 要 使 用 数据 加 密 和 认证 授权 管理 技术 ， 这 也 是 安全 存储 的 核 
心 技术 。 在 安全 存储 中 ， 利 用 技术 手段 把 文件 变 为 密 文 (加 密 ) 存 储 ; 在 使 用 文件 的 时 候 ， 用 
相同 或 不 同 的 手段 还 原 (解密 )。 这 样 ， 存 储 和 使 用 文件 就 在 密 文 和 明文 状态 之 间 切 换 ， 既 保 
证 了 安全 ， 又 能 够 方便 地 使 用 。 加 解密 的 核心 就 是 算法 和 密 钥 ， 数 据 加 密 算法 可 以 分 为 对 
称 加 密 和 非 对 称 加 密 两 大 类 。 对 称 加 密 以 数据 加 密 标准 (Data Encryption Standard，DES) 算 
法 为 典型 代表 ， 非 对 称 加 密 通常 以 RSA(Rivest Shamir Adleman) 算 法 为 代表 。 对 称 加 密 的 加 
密 密 钥 和 解密 密 钥 相同 ， 而 非 对 称 加 密 的 加 密 密 钥 和 解密 密 钥 不 同 ， 加 密 密 钥 可 以 公开 ， 
而 解密 密 钥 需 要 保密 。 

一 般 来 说 ， 非 对 称 密 钥 主要 用 于 身份 认证 ， 或 者 保护 对 称 密 钥 。 日 常 的 数据 加 密 ， 一 
般 使 用 对 称 密 钥 。 现 代 成 熟 的 加 密 、 解 密 算 法 ， 都 具有 可 靠 的 加 密 强 度 ， 除 非 能 够 持 有 正 
确 的 密 钥 ， 否 则 很 难 强 行 破解 。 在 安全 存储 产品 实际 部 署 的 时 候 ， 如 果 需 要 更 高 强度 的 身 
份 认证 ， 还 可 以 使 用 U-key， 这 种 认证 设备 在 网 上 银行 中 应 用 很 普遍 。 


8.1.2 ”系统 的 安全 隐患 


随 着 计算 机 网 络 的 迅速 发 展 ， 信 息 的 交换 和 传播 变 得 非常 容易 。 由 于 信息 在 存储 、 共 
享 、 处 理 和 传输 的 过 程 中 ， 存 在 被 非法 窃听 、 截 取 、 算 改 和 破坏 的 威胁 ， 这 会 导致 不 可 估 
量 的 损失 。 特 别 是 一 些 重要 部 门 ， 比 如 政府 部 门 、 军 事 系 统 、 银 行 系统 、 证 券 系统 和 商业 
系统 等 对 在 公共 通信 网 络 中 进行 信息 的 存储 和 传输 的 安全 问题 尤为 重视 。 

安全 威胁 是 指 对 安全 的 一 种 潜在 侵害 ， 威 胁 的 实施 称 为 攻击 。 信 息 安 全 的 威胁 就 是 指 
某 个 主体 对 信息 资源 的 机 密 性 、 完 整 性 、 可 用 性 等 所 造成 的 侵害 。 威 胁 可 能 来 源 于 对 信息 
直接 或 间接 、 主 动 或 被 动 的 攻击 ， 如 泄露 、 算 改 、 删 除 等 ， 在 信息 机 密 性 、 完 整 性 、 可 用 
性 、 可 控 性 和 可 审查 性 等 方面 造成 危害 。 攻 击 就 是 安全 威胁 具体 实施 ， 虽 然 人 为 因素 和 非 
人 为 因素 都 可 能 对 信息 安全 构成 威胁 ， 但 是 精心 设计 的 亚 意 攻击 威胁 最 大 。 

安全 威胁 可 能 来 自 各 方面 ， 从 威胁 的 主体 来 源 来 看 ， 可 以 分 为 自然 威胁 和 人 为 威胁 两 
大 类 。 

(1) 自然 威胁 是 指 自然 环境 对 计算 机 网 络 设备 设施 的 影响 ， 这 类 威胁 一 般 具 有 突 发 性 、 
自然 性 和 不 可 抗 性 。 自 然 威 胁 通 常 表 现在 对 系统 中 物理 设施 的 直接 破坏 ， 由 自然 威胁 造成 
的 破坏 影响 范围 通常 较 大 ， 损 坏 程 度 较为 严重 。 自 然 因素 的 威胁 包括 各 种 自然 灾害 ， 如 水 、 
火 、 雷 、 电 、 风 暴 、 烟 尘 、 虫 害 、 鼠 害 、 海 啸 和 地 震 等 。 系 统 的 环境 和 场地 条 件 (如 温度 、 
温度、 电源 、 地 线 ) 和 其 他 防护 设施 不 良 造成 的 威胁 ， 电 磁 辐 射 和 电磁 干扰 的 威胁 ， 硬 件 设 
备 自然 老化 、 可 靠 性 下 降 的 威胁 等 都 属于 自然 威胁 。 

(2) 人 为 威胁 从 威胁 主体 是 否 存 在 主观 故意 来 看 ， 可 以 分 为 故意 和 无 意 两 种 。 故 意 
威胁 又 可 以 进一步 细 分 为 主动 攻击 和 被 动 攻击 ， 被 动 攻击 主要 威胁 的 是 信息 的 机 密 性 ， 
为 一 般 被 动 攻击 不 会 修改 、 破 坏 系统 中 的 信息 ， 比 如 搭 线 窍 听 、 网 络 数据 嗅 探 分 析 等 。 
动 攻 击 的 目标 则 是 破坏 系统 中 信息 的 完整 性 和 可 用 性 ， 自 改 系统 信息 或 改变 系统 的 操作 状 
态 。 无 意 的 威胁 主要 是 指 合法 用 户 在 信息 处 理 、 传 输 过 程 中 的 不 当 操作 所 造成 的 对 信息 机 
密 性 、 完 整 性 和 可 用 性 等 的 破坏 。 无 意 威胁 的 事件 主要 包括 操作 失误 (操作 不 当 、 误 用 媒体 、 
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设置 错误 )、 意 外 损失 (电力 线 搭 接 、 电 火花 干扰 )、 编 程 缺陷 (经 验 不 足 、 检 查 漏 项 、 不 兼容 
文件 )、 意 外 丢失 (被 盗 、 被 非法 复制 、 丢 失 媒 体 )、 管 理 不 善 (维护 不 力 、 管 理 松懈 )、 无 意 破 
坏 ( 无 意 损坏 、 意 外 删除 ) 等 。 

本 书 主要 讨论 人 为 的 安全 威胁 。 人 为 恶意 攻击 主要 有 窃听 、 重 传 、 伪 造 、 算 改 、 拒 绝 
服务 攻击 、 行 为 否认 、 非 授权 访问 和 病毒 等 形式 。 人 为 的 恶意 攻击 具有 智能 性 、 严 重 性 、 
隐蔽 性 和 多 样 性 的 特点 。 智 能 性 是 指 恶 意 攻 击 者 大 都 具有 相当 高 的 专业 技术 和 熟练 的 技能 ， 
攻击 前 都 经 过 周密 的 预谋 和 精心 策划 。 严 重 性 是 指 涉及 金融 资产 的 网 络 信息 系统 受到 恶意 
攻击 ， 往 往 由 于 资金 损失 巨大 而 使 金融 机 构 和 企业 蒙受 重大 损失 。 如 果 涉 及 对 国家 政府 部 
门 的 攻击 ， 则 会 引起 重大 的 政治 和 社会 问题 。 隐 项 性 是 指 攻击 者 在 进行 攻击 后 会 及 时 删除 
入 侵 痕 迹 信息 和 证 据 ， 具 有 很 强 的 隐蔽 性 ， 很 难 被 发 现 。 多 样 性 是 指 随 着 计算 机 网 络 的 发 
展 ， 各 种 攻击 手段 、 攻 击 目 标 等 在 不 断 变化 。 

目前 对 信息 安全 的 威胁 尚 无 统一 的 分 类 方法 ， 由 于 信息 安全 所 面临 的 威胁 与 环境 密切 
相关 ， 不 同 威胁 带 来 的 危害 程度 随 环境 变化 而 变化 。 


1. 系统 缺陷 


系统 缺陷 又 称 为 系统 漏洞 ， 是 指 应 用 软件 、 操 作 系 统 或 系统 硬件 在 逻辑 设计 上 无 意 造 
成 的 设计 缺陷 或 错误 。 攻 击 者 一 般 利 用 这 些 缺 陷 ， 植 入 木马 、 病 毒 来 攻击 或 控制 计算 机 ， 
窃取 信息 ， 甚 至 破坏 系统 。 系 统 漏洞 是 应 用 软件 和 操作 系统 的 固有 特性 ， 不 可 避免 ， 因 此 
预防 系统 漏洞 攻击 的 最 好 办 法 就 是 及 时 升级 系统 和 漏洞 补丁 。 


2. 恶意 软件 攻击 


恶意 软件 的 攻击 主要 表现 在 各 种 木马 和 病毒 软件 对 信息 系统 的 破坏 。 

1) 木马 

木马 是 一 种 具有 特殊 功能 的 后 门 程序 ， 与 病毒 相 比 ， 木 马 不 会 自动 复制 和 感染 。 木 马 
通常 包含 客户 端 和 服务 端 两 个 可 执行 程序 ， 服 务 端 程序 是 被 植 入 目标 计算 机 的 ， 客 户 端 是 
攻击 者 用 来 控制 植 入 并 运行 服务 端 程序 的 目标 计算 机 。 一 旦 计算 机 运行 被 植 入 了 服务 端 程 
序 ， 服 务 端 程序 就 会 自我 销毁 ， 并 产生 一 个 可 供 客户 端 程序 连接 的 进程 或 线程 ， 攻 击 者 可 
以 利用 客户 端 程序 完全 控制 目标 计算 机 ， 获 取 目 标 计算 机 的 管理 员 权限 。 木 马 程序 一 般 通 
过 修改 图 标 、 捆 绑 到 系统 文件 、 定 制 常用 端口 和 自我 销毁 等 方式 伪装 与 隐藏 自己 ， 很 难 发 
现 ， 危 害 巨大 。 

2) 病毒 

计算 机 病毒 是 目前 信息 系统 面临 的 最 主要 的 一 类 威胁 , 其 涉及 范围 广 , 危害 性 巨大 。 计 
算 机 病毒 是 指 编制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 破坏 数据 ， 影 响 计 算 机 使 用 
并 能 够 自我 复制 的 一 组 计算 机 指令 或 程序 代码 。 计 算 机 病毒 借用 了 医学 上 病毒 的 概念 ， 但 
并 不 是 同义词 ， 计 算 机 病毒 不 是 天 然 存 在 的 ， 是 编制 者 利用 计算 机 软件 和 硬件 的 固有 脆弱 
性 编制 的 一 组 指令 或 程序 代码 ， 它 能 通过 某 种 途径 潜伏 在 计算 机 的 存储 介质 中 ， 当 达到 设 
定 的 某 个 特定 条 件 时 被 激活 ， 感 染 其 他 程序 并 破坏 计算 机 系统 。 

计算 机 病毒 有 自我 繁殖 性 、 破 坏 性 、 传 染 性 、 隐 项 性 、 潜 伏 性 和 可 触发 性 几 个 特点 。 
自我 繁殖 性 是 指 计算 机 病毒 能 像 生 物 病毒 一 样 进行 自我 复制 ， 是 判断 是 否 为 计算 机 病毒 的 
首要 条 件 。 破 坏 性 是 指 感染 病毒 后 ， 会 对 计算 机 系统 造成 不 同 程度 的 损坏 ， 比 如 修改 、 删 
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除数 据 或 程序 文件 ， 导 致 系统 无 法 正常 运行 。 传 染 性 是 指 计算 机 病毒 像 生物 病毒 一 样 会 自 
动向 外 传播 ， 利 用 计算 机 网 络 和 各 种 存储 介质 感染 其 他 计算 机 ， 实 现 病毒 的 快速 扩散 ， 比 
如 网 络 蠕虫 病毒 ， 可 以 在 几 分 钟 之 内 感染 几 万 台 网 络 上 的 计算 机 。 传 染 性 是 计算 机 病毒 的 
一 个 基本 特征 。 隐 项 性 是 指 病毒 为 了 避免 被 用 户 发 现 ， 一 般 会 伪装 为 正常 系统 文件 或 附加 
在 正常 文件 中 。 洪 伏 性 是 指 病毒 感染 后 不 会 马上 表现 出 来 ， 而 是 潜伏 在 系统 中 ， 等 待 特定 
的 触发 条 件 激活 ， 比 如 黑色 星期 五 病毒 ， 只 有 系统 时 间 为 星期 五 时 病毒 才 会 改作， 其 他 时 
候 病毒 不 会 进行 任何 操作 。 可 触发 性 是 指 某 个 事件 或 数值 的 出 现 ， 会 激发 病毒 实施 感染 或 
进行 攻击 的 特性 。 病 毒 的 触发 机 制 就 是 用 来 控制 感染 和 破坏 动作 的 频率 ， 病 毒 具有 预定 的 
触发 条 件 ， 这 些 条 件 可 能 是 时 间 、 日 期 、 文 件 类 型 或 某 些 特定 数据 等 。 病 毒 运行 时 ， 触 发 
机 制 检查 预定 条 件 是 否 满足 ， 如 果 满 足 ， 启 动感 染 或 破坏 动作 ， 使 病毒 进行 感染 或 攻击 ; 
如 果 不 满 足 ， 使 病毒 继续 潜伏 。 

计算 机 病毒 所 造成 的 危害 主要 表现 在 以 下 几 个 方面 。 

(1) 格式 化 磁盘 ， 致 使 信息 丢失 。 

(2) 删除 可 执行 文件 或 者 数据 文件 。 

G) 破坏 文件 分 配 表 ， 使 得 无 法 读 取 磁 盘 信息 。 

(4) 修改 或 破坏 文件 中 的 数据 。 

(5) 迅速 自我 复制 ， 占 用 空间 。 

(6) 影响 内 存 常 驻 程序 的 运行 。 

(7) 在 系统 中 产生 新 的 文件 。 

(8) 占用 网 络 带 宽 ， 造 成 网 络 堵塞。 


3. 外 部 网 络 攻击 


拒绝 服务 (Denial of Services，DoS) 攻 击 是 典型 的 外 部 网 络 攻击 的 例子 ,， 它 利用 网 络 协议 
的 缺陷 和 系统 资源 的 有 限 性 实施 攻击 ， 导 致 网 络 带宽 和 服务 器 资源 耗 尽 ， 致 使 服务 器 无 法 
对 外 正常 提供 服务 ,破坏 信息 系统 的 可 用 性 。 常 用 的 拒绝 服务 攻击 技术 主要 TCP Flood 攻击 、 
Smurf 攻击 和 DDoS 攻击 等 。 

1) TCP Flood 攻击 

标准 的 TCP 协议 的 连接 过 程 需要 三 次 握手 完成 连接 确认 。 起初 由 连接 发 起 方 发 出 SYN 
数据 报到 目标 主机 ， 请 求 建立 TCP 连接 ， 等 待 目标 主机 确认 。 目 标 主 机 接收 到 请 求 的 SYN 
数据 报 后 ， 向 请 求 方 返回 SYN+ACK 响应 数据 报 。 连 接 发 起 方 接收 到 目标 主机 返回 的 
SYN+ACK 数据 报 并 确认 目标 主机 愿意 建立 连接 后 ， 再 向 目标 主机 发 送 确 认 ACK 数据 报 。 
目标 主机 收 到 ACK 后 ，TCP 连接 建立 完成 ， 进 入 TCP 通信 状态 。 一 般 来 说 ， 目 标 主 机 返 
回 SYN+ACK 数据 报时 ， 需 要 在 系统 中 保留 一 定 缓冲 区 ， 准 备 进一步 的 数据 通信 并 记录 本 
次 连接 信息 ， 直 到 再 次 收 到 ACK 信息 或 超时 为 止 。 攻 击 者 利用 协议 本 身 的 缺陷 ， 通 过 向 目 
标 主机 发 送 大 量 的 SYN 数据 报 ， 并 忽略 目标 主机 返回 的 SYN+ACK 信息 , 不 向 目标 主机 发 
送 最 终 的 ACK 确认 数据 报 ， 致 使 目标 主机 的 TCP 缓冲 区 被 大 量 虚假 连接 信息 占 满 ， 无 法 
对 外 提供 正常 的 TCP 服务 ， 同 时 目标 主机 的 CPU 也 由 于 要 不 断 处 理 大 量 过 时 的 TCP 虚假 
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2) ”Smurf 攻击 

ICMP 协议 用 于 在 卫 主机 、 路 由 器 之 间 传 递 控制 信息 ， 包 括 报告 错误 ， 交 换 受 限 、 主 
机 不 可 达 等 状态 信息 。ICMP 协议 允许 将 一 个 ICMP 数据 报 发 送 到 一 个 计算 机 或 一 个 网 络 ， 
根据 反馈 的 报 文 信息 判断 目标 计算 机 或 网 络 是 否 连通 。 攻 击 者 利用 协议 的 功能 ， 伪 造 大 量 
的 ICMP 数据 报 ， 将 数据 报 的 目标 私自 设 为 一 个 网 络 地 址 ， 并 将 数据 报 中 的 原 发 地 址 设置 
为 被 攻击 的 目标 计算 机 IP 地址 。 这样， 被 攻击 目标 计算 机 就 会 收 到 大 量 的 ICMP 响应 数据 
报 ， 目 标 网 络 中 包含 的 计算 机 数量 越 多 ， 被 攻击 计算 机 接收 到 的 ICMP 响应 数据 报 就 越 多 ， 
导致 目标 计算 机 资源 被 耗 尽 , 不 能 正常 对 外 提供 服务 。 由 于 Ping 命令 是 简单 网 络 测试 命令 ， 
采用 的 是 ICMP 协议 ， 因 此 ， 连 续 大 量 向 某 个 计算 机 发 送 Ping 命令 也 可 以 对 目标 计算 机 造 
成 危害 。 这 种 使 用 Ping 命令 的 ICMP 攻击 称 为 Ping of Death 攻击 。 要 防范 这 种 攻击 ， 一 种 
方法 是 在 路 由 器 上 对 ICMP 数据 报 进行 带宽 限制 ， 将 ICMP 占用 的 带宽 限制 在 一 定 范围 内 ， 
这 样 即使 有 ICMP 攻击 ， 由 于 其 所 能 占用 的 网 络 带宽 非常 有 限 ， 也 不 会 对 整个 网 络 造成 太 
大 影响 ; 另 一 种 方法 是 在 主机 上 设置 ICMP 数据 报 的 处 理 规则 , 比如 设 定 拒绝 ICMP 数据 报 。 

3) ”DDoS(Distributed Denial of Service) 攻 击 

攻击 者 为 了 进一步 隐蔽 自己 的 攻击 行为 ， 并 提升 攻击 效果 ， 常 常 采 用 分 布 式 拒绝 服务 
攻击 (DDoS)。DDos 攻击 是 在 DoS 攻击 基础 上 演变 出 来 的 一 种 攻击 方式 。 攻 击 者 在 进行 
DDoS 攻击 前 ， 已 经 通过 其 他 入 侵 手 段 控制 了 互联 网 上 的 大 量 计算 机 ， 其 中 部 分 计算 机 已 被 
攻击 者 安装 了 攻击 控制 程序 ， 这 些 计算 机 称 为 主 控 计算 机 。 攻 击 者 发 起 攻击 时 ， 首 先 向 主 
控 计 算 机 发 送 攻 击 指令 ， 主 控 计 算 机 再 向 攻击 者 控制 的 其 他 大 量 的 计算 机 ( 称 为 代理 计算 机 
或 伪 己 计算机) 发 送 攻 击 指令 ， 大 量 代理 计算 机 向 目标 主机 进行 攻击 。 为 了 达到 攻击 效果 ， 
一 般 攻击 者 所 使 用 的 代理 计算 机 数量 非常 惊人 , 据 估 计 能 达到 数 十 万 或 百 万 . DDoS 攻击 中 ， 
攻击 者 大 多 使 用 多 级 主 控 计 算 机 以 及 代理 计算 机 进行 攻击 ， 所 以 非常 隐蔽 ， 一 般 很 难 查找 
到 攻击 的 源头 。 

其 他 的 拒绝 服务 攻击 方式 还 有 邮件 炸弹 攻击 、 刷 Script 攻击 和 Land Attack 攻击 等 。 


4. 钓鱼 攻击 


钓鱼 攻击 是 一 种 在 网 络 中 通过 伪装 成 信誉 良好 的 实体 以 获得 如 用 户 名 、 密 码 和 信用 卡 
明细 等 个 人 敏感 信息 的 犯罪 诈骗 过 程 。 这 些 伪装 的 实体 假冒 为 知名 社交 网 站 、 拍 卖 网 站 、 
网 络 银行 、 电 子 支付 网 站 或 网 络 管理 者 ， 以 此 来 诱骗 受害 人 点 击 登录 或 进行 支付 。 网 络 钓 
鱼 通常 通过 E-mail 或 者 即时 通信 工具 进行 ， 它 常常 引导 用 户 到 界面 外 观 与 真正 网 站 毫 无 二 
致 的 假冒 网 站 输入 个 人 数据 。 就 算 使 用 强加 密 的 SSL 服务 器 认证 ， 也 很 难 侦 测 网 站 是 否 仿 
冒 。 由 于 网 络 钓鱼 主要 针对 的 是 银行 、 电 子 商务 网 站 以 及 电子 支付 网 站 ， 因 此 常常 会 对 用 
户 造成 非常 大 的 经 济 损失 。 目 前 针对 网 络 钓鱼 的 防范 措施 主要 有 浏览 器 安全 地 址 提醒 、 增 
加 密码 注册 表 和 过 滤 网 络 钓鱼 邮件 等 方法 。 


8.2 网 络 恶 意 攻击 


8.2.1 ”恶意 攻击 的 出 现 


网 络 恶意 攻击 通常 是 指 利用 系统 存在 的 安全 漏洞 或 弱点 ， 通 过 非法 手段 获得 某 信息 系 
统 的 机 密 信息 的 访问 权 ， 以 及 对 系统 部 分 或 全 部 的 控制 权 ， 并 对 系统 安全 构成 破坏 或 威胁 。 
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目前 常见 的 技术 手段 有 : 用 户 账号 及 密码 破解 ， 程 序 漏洞 中 可 能 造成 的 “堆栈 溢出 ”; 程 
序 中 设置 的 “后 门 ”; 通过 各 种 手段 设置 的 “木马 ”; 网 络 访问 的 伪造 与 支持 ; 各 种 程序 
设计 和 开发 中 存在 的 安全 漏洞 等 。 在 具体 实施 每 一 种 攻击 类 型 时 ， 针 对 不 同 的 网 络 服 务 又 
有 多 种 技术 手段 ， 并 且 随 着 时 间 的 推移 、 版 本 的 更 新 还 会 不 断 产生 新 的 手段 ， 呈 现 出 不 断 
变化 演进 的 特性 。 

通过 分 析 会 发 现 ， 除 破解 账号 及 口令 等 手段 外 ， 最 终 一 个 系统 被 “黑客 ”攻陷 ， 其 本 
质 原因 是 系统 或 软件 本 身 存 在 可 被 “黑客 ”利用 的 漏洞 或 缺陷 ， 它 们 可 能 是 设计 上 的 、 工 
程 上 的 ， 也 可 能 是 配置 管理 疏漏 等 原因 造成 的 。 解 决 这 些 问 题 通常 有 两 种 方式 。 

(1) 加 大 软件 安全 设计 及 施工 的 开发 力度 ， 保 障 产品 的 安全 ， 这 是 目前 可 信 计 算 研 究 
的 内 容 之 一 。 

(2) 用 技术 手段 来 保障 产品 的 安全 (如 身份 识别 、 加 密 、IDS/IPS、 防 火 墙 等 )。 一 方面 ， 
人 们 更 寄 希 望 于 后 者 ， 原 因 是 造成 程序 安全 性 漏洞 或 缺陷 的 原因 非常 复杂 ， 能 力 、 方 法 、 
经 济 、 时 间 ， 甚 至 情感 诸多 方面 都 可 能 对 软件 产品 的 安全 质量 带 来 影响 。 另 一 方面 ， 由 于 
软件 产品 安全 效益 的 间接 性 、 安 全 效果 难以 用 一 种 通用 的 规范 加 以 测量 和 约束 ， 以 及 人 们 
普遍 存在 的 侥幸 心理 ， 使 得 软件 产品 的 开发 在 安全 性 与 其 他 方面 产生 冲突 时 ， 前 者 往往 处 
于 下 风 。 虽 然 一 直 有 软件 工程 规范 来 指导 软件 的 开发 ， 但 似乎 完全 靠 软件 产品 本 身 的 安全 
设计 与 施工 还 很 难 解决 其 安全 问题 。 这 也 是 诸多 产品 ， 甚 至 大 公司 的 号 称 安全 加 强 版 的 产 
品 仍 不 断 暴露 安全 缺陷 的 原因 所 在 。 于 是 人 们 更 寄 望 于 通过 专门 的 安全 防范 工具 来 解决 信 
息 系 统 的 安全 问题 。 


8.2.2 ”恶意 攻击 的 来 源 
网 络 恶意 攻击 类 型 多 样 ， 这 里 主要 从 攻击 来 源 角 度 介绍 一 些 网 络 攻击 行为 。 
1. 恶意 软件 


恶意 软件 是 指 在 未 明确 提示 用 户 或 未 经 用 户 许可 的 情况 下 ， 在 用 户 计算 机 或 其 他 终端 
上 安装 运行 ， 侵 犯 用 户 合法 权益 的 软件 。 

计算 机 遭 到 恶意 软件 入 侵 后 ， 黑 客 会 通过 记录 击 键 情况 或 监控 计算 机 活动 试图 获取 用 
户 个 人 信息 的 访问 权限 。 他 们 也 可 能 会 在 用 户 不 知情 的 情况 下 ， 控 制 用 户 的 计算 机 ， 以 访 
问 网 站 或 执行 其 他 操作 。 恶 意 软件 主要 包括 特洛伊 森马、 蠕虫 和 病毒 三 大 类 。 

(1) 特洛伊 木马 。 木 马 是 一 种 后 门 程序 ， 黑 客 可 以 利用 其 盗 取 用 户 的 隐私 信息 ， 甚 至 
远程 控制 对 方 的 计算 机 。 特 洛 伊 木 马 程序 通常 通过 电子 邮件 附件 、 软 件 捆绑 和 网 页 挂 马 等 
方式 向 用 户 传播 。 

(2) 蠕虫 。 蠕 虫 是 一 种 恶意 程序 ， 不 用 将 自己 注入 其 他 程序 就 能 传播 自己 ， 它 可 以 通 
过 网 络 连接 自动 将 其 自身 从 一 台 计算 机 分 发 到 另 一 台 计 算 机 上 ， 一 般 这 个 过 程 不 需要 人 工 
干预 。 蠕 虫 会 执行 有 害 操作 ， 例 如 ， 消 耗 网 络 或 本 地 系统 资源 ， 这 样 可 能 会 导致 拒绝 服务 
攻击 。 某 些 蠕虫 无 须 用 户 干预 即 可 执行 和 传播 ， 而 还 有 些 蠕虫 则 需 用 户 直 接 执行 蠕虫 代码 
才能 传播 。 

(3) 病毒 。 病 毒 是 一 种 人 为 制造 的 、 能 够 进行 自我 复制 的 、 会 对 计算 机 资源 造成 破坏 
的 一 组 程序 或 指令 的 集合 ， 病 毒 的 核心 特征 就 是 可 以 自我 复制 并 具有 传染 性 。 病 毒 尝试 将 
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其 自身 附加 到 宿主 程序 ， 以 便 在 计算 机 之 间 进 行 传播 。 它 可 能 会 损害 硬件 、 软 件 或 数据 。 
宿主 程序 执行 时 ， 病 毒 代码 也 随 之 运行 ， 并 会 感染 新 的 宿主 。 
恶意 软件 的 特征 如 下 。 
e@ ”强制 安装 : 指 在 未 明确 提示 用 户 或 未 经 用 户 许可 的 情况 下 ， 在 用 户 计 算 机 或 其 他 
终端 上 安装 软件 的 行为 。 
@ ”难以 印 载 : 指 未 提供 通用 的 印 载 方式 ， 或 在 不 受 其 他 软件 影响 、 人 为 破坏 的 情况 
下 ， 镍 载 后 仍 活动 程序 的 行为 。 
@ 浏览 器 劫持 : 指 未 经 用 户 许可 ， 修 改 用 户 浏览 器 或 其 他 相关 设置 ， 人 迫使 用 户 访问 
特定 网 站 或 导致 用 户 无 法 正常 上 网 的 行为 。 
@ 广告 弹出 : 指 未 明确 提示 用 户 或 未 经 用 户 许可 的 情况 下 ， 利 用 安装 在 用 户 计算 机 
或 其 他 终端 上 的 软件 弹出 广告 的 行为 。 
e 恶意 收集 用 户 信息 : 指 未 明确 提示 用 户 或 未 经 用 户 许可 ， 亚 意 收 集 用户 信 息 的 
行为 。 
e ”恶意 印 载 : 指 未 明确 提示 用 户 、 未 经 用 户 许可 ， 或 误导 、 欺 骗 用 户 卸 载 非 恶 意 软 
件 的 行为 。 
e 恶意 捆绑 : 指 在 软件 中 捆绑 已 被 认定 为 恶意 软件 的 行为 。 
@ ”其 他 侵犯 用 户 知情 权 、 选 择 权 的 恶意 行为 。 


2. DDoS 


DDoS(Distributed Denial of Service, 分 布 式 拒绝 服务 攻击 ) 是 目前 互联 网 最 严重 的 威胁 之 
一 ， 攻 击 的 核心 思想 是 消耗 攻击 目标 的 计算 资源 ， 阻 止 目标 为 合法 用 户 提供 服务 。Web 服 
务 器 、DNS 服务 器 为 最 常见 的 攻击 目标 ， 可 消耗 的 计算 资源 可 以 是 CPU、 内 存 、 带 宽 、 数 
据 库 服务 器 等 ， 国 内 外 知名 互联 网 企业 ， 比 如 Amazon、eBay、sina、Baidu 等 网 站 都 曾 受 
到 过 DDoS 攻击 。 DDoS 攻击 不 仅 可 以 实现 对 某 一 个 具体 目标 ， 如 Web 服务 器 或 DNS 服务 
器 的 攻击 ， 还 可 以 实现 对 网 络 基 础 设施 (如 路 由 器 ) 的 攻击 。 利 用 巨大 的 攻击 流量 ， 可 以 使 攻 
击 目标 所 在 的 互联 网 区 域 网 络 基础 设施 过 载 ， 导 致 网 络 性 能 大 幅度 下 降 ， 影 响 网 络 所 承载 
的 服务 。 近 年 来 ， DDoS 攻击 事件 层出不穷 ， 各 种 相关 报道 也 屡见不鲜 。 比 较 典型 的 事件 如 
2009 年 5 月 19 日 发 生 的 暴风 影音 事件 。 该 事件 导致 了 中 国 南方 六 省 电信 用 户 的 大 规模 断 网 ， 
预计 经 济 损失 超过 1.6 亿 元 人 民 币 ， 其 根本 原因 是 服务 于 暴风 影音 软件 的 域名 服务 器 DNS 
遭 到 黑客 的 DDoS 攻击 ， 而 无 法 提供 正常 域名 请 求 。 


8.3 病 毒 





8.3.1 病毒 的 定义 


计算 机 病毒 (Computer Virus) 的 广义 定义 是 一 种 人 为 制造 的 、 能 够 进行 自我 复制 的 、 具 
有 对 计算 机 资源 的 破坏 作用 的 一 组 程序 或 指令 的 集合 。 计 算 机 病毒 把 自身 附着 在 各 种 类 型 
的 文件 上 或 寄生 在 存储 媒介 中 ， 能 对 计算 机 系统 和 网 络 进 行 破坏 ， 同 时 有 独特 的 复制 能 力 
和 传染 性 ， 能 够 自我 复制 和 传染 。 

在 1994 年 2 月 18 日 公布 的 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 ， 计 
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算 机 病毒 被 定义 为 “计算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 
破坏 数据 ， 影 响 计 算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 

计算 机 病毒 与 生物 病毒 一 样 ， 有 其 自身 的 病毒 体 (病毒 程序 ) 和 寄生 体 (宿主 ，Host)。 所 
谓 感染 或 寄生 ， 是 指 病毒 将 自身 嵌入 宿主 指令 序列 中 。 寄 生体 为 病毒 提供 一 种 生存 环境 ， 
是 一 种 合法 程序 。 当 病毒 程序 寄生 于 合法 程序 之 后 ， 病 毒 就 成 为 程序 的 一 部 分 ， 并 在 程序 
中 占有 合法 地 位 。 这 样 合法 程序 就 成 为 病毒 程序 的 寄生 体 ， 或 称 为 病毒 程序 的 载体 。 病 毒 
可 以 寄生 在 合法 程序 的 任何 位 置 。 病 毒 程序 一 旦 寄生 于 合法 程序 之 后 ， 就 随 原 合法 程序 的 
执行 而 执行 ， 随 它 的 生存 而 生存 ， 随 它 的 消失 而 消失 。 为 了 增强 活力 ， 病 毒 程序 通常 寄生 
于 一 个 或 多 个 被 频繁 调用 的 程序 中 。 


8.3.2 ”病毒 的 特点 


计算 机 病毒 种 类 繁多 、 特 征 各 异 ， 但 一 般 具 有 自我 复制 能 力 、 感 染 性 、 潜 伏 性 、 触 发 
性 和 破坏 性 。 计 算 机 病毒 的 基本 特征 包括 以 下 方面 。 
1. 计算 机 病毒 的 可 执行 性 
计算 机 病毒 与 其 他 合法 程序 一 样 ， 是 一 段 可 执行 程序 。 计 算 机 病毒 在 运行 时 与 合法 程 
序 争夺 系统 的 控制 权 ， 例 如 ， 病 毒 一 般 在 运行 其 宿主 程序 之 前 先 运行 自己 ， 通 过 这 种 方法 
抢夺 系统 的 控制 权 。 只 有 当 计算 机 病毒 在 计算 机 内 得 以 运行 时 ， 才 具有 传染 性 和 破坏 性 等 
活性 。 计 算 机 病毒 一 经 在 计算 机 上 运行 ， 在 同一 台 计 算 机 内 病毒 程序 与 正常 系统 程序 或 某 
种 病毒 与 其 他 病毒 程序 争夺 系统 控制 权时 往往 会 造成 系统 崩溃 ， 导 致 计算 机 瘫痪 。 

2. 计算 机 病毒 的 传染 性 


计算 机 病毒 的 传染 性 是 指 病毒 具有 把 自身 复制 到 其 他 程序 和 系统 的 能 力 。 计 算 机 病毒 
也 会 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 ， 在 某 些 情 况 下 造成 被 感 
染 的 计算 机 工作 失常 甚至 瘫痪 。 计 算 机 病毒 一 旦 进入 计算 机 并 得 以 执行 ， 就 会 搜寻 符合 其 
传染 条 件 的 其 他 程序 或 存储 介质 ， 确 定 目标 后 再 将 自身 代码 插入 其 中 ， 达 到 自我 繁殖 的 目 
的 。 被 感染 的 目标 又 成 为 新 的 传染 源 ， 当 它 被 执行 以 后 ， 便 又 去 感染 男 一 个 可 以 被 其 传染 
的 目标 。 计 算 机 病毒 可 通过 各 种 可 能 的 渠道 ， 如 总 盘 、 计 算 机 网 络 传染 其 他 的 计算 机 。 


3. 计算 机 病毒 的 非 授权 性 

一 般 正 常 的 程序 是 由 用 户 调 用 ， 再 由 系统 分 配 资源 ， 完 成 用 户 交 给 的 任务 ， 其 目的 对 
用 户 是 可 见 的 、 透 明 的 。 病 毒 隐藏 在 正常 程序 中 ， 其 在 系统 中 的 运行 流程 一 般 是 :做 初始 
化 工作 一 寻找 传染 目标 一 窃取 系统 控制 权 一 完成 传染 破坏 活动 ， 其 目的 对 用 户 是 未 知 的 ， 
是 未 经 用 户 允 许 的 。 可 见 ， 计 算 机 病毒 具有 非 授 权 性 。 

4. 计算 机 病毒 的 隐蔽 性 

计算 机 病毒 通常 附 在 正常 程序 中 或 磁盘 较 隐 项 的 地 方 ， 也 有 个 别 病毒 以 隐 含 文件 形式 
出 现 ， 目 的 是 不 让 用 户 发 现 它 的 存在 。 如 果 不 经 过 代码 分 析 ， 病 毒 程序 与 正常 程序 很 难 区 
别 ， 而 一 旦 病毒 发 作 表 现 出 来 ， 往 往 已 经 给 计算 机 系统 造成 了 不 同 程度 的 破坏 。 

5. 计算 机 病毒 的 潜伏 性 

一 个 编制 精巧 的 计算 机 病毒 程序 ， 进 入 系统 之 后 一 般 不 会 马上 发 作 。 潜 伏 性 越 好 ， 其 
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在 系统 中 的 存在 时 间 就 会 越 长 ， 病 毒 的 传染 范围 就 会 越 大 。 病 毒 程序 必须 用 专用 检测 程序 
才能 检查 出 来 ， 并 有 一 种 触发 机 制 ， 不 满足 触发 条 件 时 ， 计 算 机 病毒 只 传染 计算 机 但 不 做 
破坏 ， 只 有 当 触 发 条 件 满足 时 ， 才 会 激活 病毒 的 表现 模块 而 出 现 中 毒 症 状 。 

6. 计算 机 病毒 的 破坏 性 

计算 机 病毒 一 旦 运行 ， 会 对 计算 机 系统 造成 不 同 程度 的 影响 ， 轻 者 降低 计算 机 系统 工 
作 效 率 、 占 用 系统 资源 (如 占用 内 存 空 间 、 磁 盘存 储 空 间 以 及 系统 运行 时 间 等 )， 重 者 导致 数 
据 丢 失 、 系 统 衣 溃 。 计 算 机 病毒 的 破坏 性 决定 了 病毒 的 危害 性 。 


7. 计算 机 病毒 的 寄生 性 


病毒 程序 嵌入 宿主 程序 中 ， 依 赖 于 宿主 程序 的 执行 而 生存 ， 这 就 是 计算 机 病毒 的 寄生 
性 。 病 毒 程序 在 侵入 宿主 程序 后 ， 一 般 对 宿主 程序 进行 一 定 的 修改 ， 宿 主 程序 一 旦 执行 ， 
病毒 程序 就 被 激活 ， 从 而 可 以 进行 自我 复制 和 繁衍 。 

8. 计算 机 病毒 的 不 可 预见 性 

从 对 病毒 的 检测 来 看 ， 病 毒 还 有 不 可 预见 性 。 不 同 种 类 的 病毒 ， 它 们 的 代码 千差万别 ， 
但 有 些 操作 是 共有 的 (如 驻 内 存 、 改 中 断 )。 计 算 机 病毒 新 技术 的 不 断 涌现 ， 也 加 大 了 对 未 知 
病毒 的 预测 难度 ， 决 定 了 计算 机 病毒 的 不 可 预见 性 。 事 实 上 ， 反 病毒 软件 的 预防 措施 和 技 
术 手 段 往往 滞后 于 病毒 的 产生 速度 。 


9. 计算 机 病毒 的 诱惑 欺骗 性 

某 些 病毒 常 以 某 种 特殊 的 表现 方式 ， 引 诱 、 欺 骗 用 户 不 自觉 地 触发 、 激 活 病毒 ， 从 而 
实施 其 感染 、 破 坏 功能 。 某 些 病毒 会 通过 引诱 用 户 点 击 电子 邮件 中 的 相关 网 址 、 文 本 、 图 
片 等 进行 激活 和 传播 。 


8.3.3 ”病毒 的 分 类 
根据 病毒 传播 和 感染 的 方式 ， 计 算 机 病毒 主要 有 以 下 几 种 类 型 。 


1. 引导 型 病毒 


引导 型 病毒 (Boot Strap Sector Virus) 藏 匿 在 磁盘 片 或 硬盘 的 第 一 个 扇 区 。DOS( 磁 盘 操 作 
系统 ) 的 架构 设计 使 得 病毒 可 以 在 每 次 开机 时 ， 在 操作 系统 被 加 载 之 前 就 被 加 载 到 内 存 中 ， 
这 个 特性 使 得 病毒 可 以 针对 DOS 的 各 类 中 断 进行 完全 控制 , 并 且 拥 有 更 强 的 传染 与 破坏 
能 力 。 


2. 文件 型 病毒 


文件 型 病毒 (File Infector Virus) 通 常 寄生 在 可 执行 文件 中 。 当 这 些 文件 被 执行 时 ， 病 毒 
程序 就 跟着 被 执行 。 文 件 型 病毒 依 传染 方式 的 不 同 分 成 非常 驻 型 和 常 驻 型 两 种 。 非 常 驻 型 
病毒 将 自己 寄生 在 *.COM、*.EXE 或 是 *.SYS 文件 中 。 当 这 些 中 毒 的 程序 被 执行 时 ， 就 会 尝 
试 去 传染 另 一 个 或 多 个 文件 。 常 驻 型 病毒 隐藏 在 内 存 中 ， 通 常 寄生 在 中 断 服务 程序 中 ， 通 
过 磁盘 访问 操作 传播 。 由 于 这 个 原因 ， 常 驻 型 病毒 往往 会 对 磁盘 造成 更 大 的 伤害 。 一 旦 常 
驻 型 病毒 进入 内 存 ， 只 要 执行 文件 ， 文 件 就 会 被 感染 。 
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3. 复合 型 病毒 

复合 型 病毒 (Multi-Partite Virus) 兼 具 引导 型 病毒 以 及 文件 型 病毒 的 特性 。 它 们 可 以 传染 
*.COM、*.EXE 文件 ， 也 可 以 传染 磁盘 的 引导 区 。 由 于 这 个 特性 ， 这 种 病毒 具有 相当 强 的 
传染 力 。 一 旦 发 作 ， 其 破坏 的 程度 将 相当 大 。 


4. 宏 病毒 


宏 病 毒 (Macro Virus) 主 要 是 利用 软件 本 身 所 提供 的 宏 能 力 来 设计 病毒 , 所 以 凡是 具有 写 
宏 能 力 的 软件 都 有 宏 病 毒 存 在 的 可 能 ， 如 Word、Excel、PowerPoint 等 。 


5. 计算 机 蠕虫 


在 非 DOS 操作 系统 中 ,， “蠕虫 ”(Worm) 是 典型 的 病毒 ， 它 不 占用 除 内 存 以 外 的 任何 资 
源 ， 不 修改 磁盘 文件 ， 利 用 网 络 功能 搜索 网 络 地 址 ， 便 可 将 自身 传播 到 下 一 地 址 ， 有 时 也 
在 网 络 服务 器 和 启动 文件 中 存在 。 


6. 特洛伊 木马 


木马 病毒 的 共有 特性 是 通过 网 络 或 者 系统 漏洞 进入 用 户 的 系统 并 隐藏 ， 然 后 向 外 界 泄 
露 用 户 的 信息 ， 或 对 用 户 的 计算 机 进行 远程 控制 。 随 着 网 络 的 发 展 ， 特 洛 伊 木马 (Trojan) 和 
计算 机 蠕虫 之 间 的 依附 关系 日 益 密 切 ， 有 越 来 越 多 的 病毒 同时 结合 这 两 种 病毒 形态 ， 破 坏 
能 力 更 大 。 


8.4 网 络 防火 墙 技术 


8.4.1 防火 墙 的 概念 


Internet 防火 墙 是 一 种 装置 ， 它 是 由 软件 或 硬件 设备 组 合 而 成 ， 通 常 处 于 企业 的 内 部 局 
域 网 与 ntemet 之 间 ， 限 制 Intemet 用 户 对 内 部 网 络 的 访问 以 及 管理 内 部 用 户 访问 外 界 的 权 
限 。 换 言 之 ， 一 个 防火 墙 在 一 个 被 认为 是 安全 和 可 信 的 内 部 网 络 与 一 个 被 认为 是 不 那么 安 
全 和 可 信 的 外 部 网 络 (通常 是 Intemeb 之 间 提 供 一 个 封锁 工具 。 防 火 墙 是 一 种 被 动 的 技术 ， 因 
为 它 假 设 了 网 络 边界 的 存在 ， 它 对 内 部 的 非法 访问 难以 有 效 控制 。 防 火 墙 是 一 种 网 络 安全 
技术 ， 最 初 它 被 定义 为 实施 某 些 安全 策略 保护 一 个 可 信 网 络 ， 用 以 防止 来 自 一 个 不 可 信任 
的 网 络 访问 。 网 络 防火 墙 技 术 是 一 种 用 来 加 强 网 络 之 间 访 问 控制 ， 防 止 外 部 网 络 用 户 以 非 
法 手段 通过 外 部 网 络 进入 内 部 网 络 ， 访 问 内 部 网 络 资源 ， 保 护 内 部 网 络 操作 环境 的 特殊 网 
络 互 联 设备 。 它 对 两 个 或 多 个 网 络 之 间 传 输 的 数据 包 ( 如 链接 方式 ) 按 照 一 定 的 安全 策略 来 实 
施 检查 ， 以 决定 网 络 之 间 的 通信 是 否 被 允许 ， 并 监视 网 络 运行 状态 。 它 的 基本 系统 模型 如 
图 8-2 所 示 。 

基本 的 防火 墙 系统 模型 从 实现 上 来 看 ， 实 际 上 是 一 个 独立 的 进程 或 一 组 紧密 联系 的 进 
程 ， 运 行 于 路 由 服务 器 上 ， 控 制 经 过 它们 的 网 络 应 用 服务 及 数据 。 安 全 、 管 理 、 速 度 是 防 
火 墙 的 三 大 要 素 。 防 火 墙 已 成 为 实现 网 络 安全 策略 的 最 有 效 工 具 之 一 ， 并 被 广泛 地 应 用 到 
Internet/Intranet 的 建设 上 。 

防火 墙 作 为 内 部 网 与 外 部 网 之 间 的 一 种 访问 控制 设备 ， 常 常安 装 在 内 部 网 和 外 部 网 交 
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流 的 点 上 。Intemet 防火 墙 是 路 由 器 、 堡 又 主机 或 任何 提供 网 络 安全 的 设备 的 组 合 ， 是 安全 
策略 的 一 个 部 分 。 如 果 仅 设立 防火 墙 系统 ， 而 没有 全 面 的 安全 策略 ， 那 么 防火 墙 就 形 同 虚 
设 。 全 面 的 安全 策略 应 告诉 用 户 应 有 的 责任 ， 公 司 规定 的 网 络 访问 、 服 务 访问 、 本 地 和 远 
程 的 用 户 认 证 、 拨 入 和 拨 出 、 磁 盘 和 数据 加 密 、 病 毒 防护 措施 ， 以 及 雇员 培训 等 。 所 有 可 
能 受到 网 络 攻击 的 地 方 ， 都 必须 以 同样 安全 级 别 加 以 保护 。 








单位 内 部 网 络 
(可 信赖 域 ) 








路 由 器 防火墙 


外 部 网 络 
( 非 信赖 域 ) 
图 8-2 ”基本 网 络 防火 墙 模型 


防火 墙 系统 可 以 是 路 由 器 ， 也 可 以 是 个 人 主机 、 主 系统 或 一 批 主 系统 ， 用 于 把 网 络 或 
子 网 同 那些 子 网 外 的 可 能 是 不 安全 的 系统 隔绝 。 防 火 墙 系统 通常 位 于 等 级 较 高 的 网 关 或 网 
点 与 Internet 的 连接 处 。 

防火 墙 设计 政策 是 防火 墙 专用 的 。 它 定义 用 来 实施 服务 访问 政策 的 规则 ， 一 个 人 不 可 
能 在 完全 不 了 解 防火 墙 能 力 和 限制 ， 以 及 与 TCP/IP 相关 联 的 威胁 和 易 受 攻击 性 等 问题 的 真 
空 条 件 下 设计 这 一 政策 。 防 火 墙 一 般 实 施 两 个 基本 设计 方针 之 一 。 

1. 只 允许 访问 特定 的 服务 

一 切 未 被 允许 的 就 是 禁止 的 。 基 于 该 准则 ， 防 火 墙 应 封锁 所 有 信息 流 ， 然 后 对 希望 提 
供 的 服务 逐 项 开放 。 这 是 一 种 非常 实用 的 方法 ， 可 以 营造 一 种 十 分 安全 的 环境 ， 因 为 只 有 
经 过 仔细 挑选 的 服务 才 被 允许 使 用 。 其 次 端 是 ， 安 全 性 高 于 用 户 使 用 的 方便 性 ， 用 户 所 能 
使 用 的 服务 范围 受 限制 。 


2. 只 拒绝 访问 特定 的 服务 


一 切 未 被 禁止 的 就 是 允许 的 。 基 于 该 准则 ， 防 火 墙 应 转发 所 有 信息 流 ， 然 后 逐 项 屏蔽 
可 能 有 害 的 服务 。 这 种 方法 构成 了 一 种 更 为 灵活 的 应 用 环境 ， 可 为 用 户 提供 更 多 的 服务 。 
其 弊病 是 ， 在 日 益 增多 的 网 络 服务 面前 ， 网 管 人 员 疲 于 奔 命 ， 特 别 是 受 保护 的 网 络 范围 增 
大 时 ， 很 难 提供 可 靠 的 安全 防护 。 

总 体 来 说 ， 一 个 好 的 防火 墙 系统 应 具有 以 下 5 个 方面 的 特性 。 

(1) 所 有 在 内 部 网 络 和 外 部 网 络 之 间 传输 的 数据 都 必须 能 够 通过 防火 墙 。 

(2) 只 有 被 授权 的 合法 数据 即 防火 墙 系统 中 安全 策略 允许 的 数据 , 才 可 以 通过 防火 墙 。 

(3) 防火 墙 本 身 不 受 各 种 攻击 的 影响 。 
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(4) 使 用 目前 新 的 信息 安全 技术 ， 比 如 现代 密码 技术 、 一 次 口令 系统 、 智 能 卡 。 

(5) 人 机 界面 良好 ， 用 户 配置 使 用 方便 ， 易 管理 。 系 统管 理 员 可 以 方便 地 对 防火 墙 进 
行 设置 ， 对 Intemet 的 访问 者 、 被 访问 者 、 访 问 协议 以 及 访问 方式 进行 控制 。 

即使 具备 这 些 特性 ， 防 火 墙 还 是 有 它 不 可 避免 的 缺陷 。 

(1) 不 能 防范 恶意 的 知情 者 (内 部 攻击 )。 防火 墙 可 以 禁止 系统 用 户 通过 网 络 连接 发 送 专 
有 的 信息 ， 但 用 户 可 以 将 数据 复制 到 磁盘 、 磁 带 上 带 出 去 。 如 果 入 侵 者 已 经 在 防火 墙 内 部 ， 
防火 墙 是 无 能 为 力 的 。 

(2) 防火 墙 不 能 防范 不 通过 它 的 连接 。 防 火 墙 能 够 有 效 防止 通过 它 进行 传输 的 信息 
然而 不 能 防止 不 通过 它 而 传输 的 信息 。 例 如 ， 如 果 站 点 允许 对 防火 墙 后 面 的 内 部 系统 进行 
拨号 访问 ， 那 么 防火 墙 没 有 办 法 阻止 入 侵 者 进行 拨号 入 侵 。 

G) 防火 墙 几乎 不 能 防范 病毒 。 普 通 防火 墙 虽然 扫描 通过 它 的 信息 ， 但 一 般 只 扫描 源 
地 址 、 目 的 地 址 和 端口 号 ， 而 不 扫描 数据 的 确切 内 容 。 

(4) 防火 墙 不 能 防备 全 部 的 威胁 。 防 火 墙 被 用 来 防备 已 知 的 威胁 ， 但 它 一 般 不 能 防备 
新 的 未 知 的 威胁 。 


8.4.2 防火墙 的 分 类 


常见 的 防火 墙 有 3 种 类 型 : 包 过 滤 防 火 墙 、 代 理 防火 墙 、 双 穴 主 机 防火 墙 。 

(1) 包 过 滤 防 火 墙 : 包 过 滤 防 火 墙 设置 在 网 络 层 ， 可 以 在 路 由 器 上 实现 包 过 滤 。 首 先 ， 
信息 过 滤 表 是 以 其 收 到 的 数据 包头 信息 为 基础 而 建成 的 。 信 息 包头 含有 数据 包 源 卫 地 址 、 
目的 他 地 址 、 传 输 协议 类 型 (TCP、UDP、ICMP 等 )、 协 议 源 端口 号 、 协 议 目 的 端口 号 、 连 
接 请 求 方向 、ICMP 报 文 类 型 等 。 当 一 个 数据 包 满 足 过 滤 表 中 的 规则 时 , 则 允许 数据 包 通 过 ， 
否则 禁止 通过 。 这 种 防火 墙 可 以 用 于 禁止 外 部 不 合法 用 户 对 内 部 的 访问 ， 也 可 以 用 来 禁止 
访问 某 些 服务 类 型 。 包 过 滤 技 术 不 能 识别 有 和 危险 的 信息 包 ， 无 法 实施 对 应 用 级 协议 的 处 理 ， 
也 无 法 处 理 UDP、RPC 或 动态 的 协议 。 

(2) 代理 防火 墙 : 代理 防火 墙 又 称 应 用 层 网 关 级 防火 墙 ， 它 由 代理 服务 器 和 过 滤 路 由 
器 组 成 ， 是 目前 较 流 行 的 一 种 防火 墙 。 它 将 过 滤 路 由 器 和 软件 代理 技术 结合 在 一 起 。 过 滤 
路 由 器 负责 网 络 互联 ， 并 对 数据 进行 严格 选择 ， 然 后 将 筛选 过 的 数据 传送 给 代理 服务 器 。 
代理 服务 器 起 到 外 部 网 络 申请 访问 内 部 网 络 的 中 间 转 接 作 用 ， 其 功能 类 似 于 一 个 数据 转发 
器 ， 它 主要 控制 哪些 用 户 能 访问 哪些 服务 类 型 。 当 外 部 网 络 向 内 部 网 络 申请 某 种 网 络 服务 
时 ， 代 理 服务 器 接受 申请 ， 然 后 它 根据 其 服务 类 型 、 服 务 内 容 、 被 服务 的 对 象 、 服 务 者 申 
请 的 时 间 、 申 请 者 的 域名 范围 等 来 决定 是 否 接受 此 项 服务 ， 如 果 接 受 ， 它 就 向 内 部 网 络 转 
发 这 项 请 求 。 代 理 防 火 墙 无 法 快速 支持 一 些 新 出 现 的 业务 (如 多 媒体 )。 现 在 较为 流行 的 代理 
服务 器 软件 是 WinGate 和 Proxy Server。 

(3) 双 穴 主 机 防火 墙 : 该 防火 墙 是 用 主机 来 执行 安全 控制 功能 。 一 台 双 穴 主 机 配 有 多 
个 网 卡 ， 分 别 连接 不 同 的 网 络 。 双 穴 主机 从 一 个 网 络 收集 数据 ， 并 且 有 选择 地 把 它 发 送 到 
另 一 个 网 络 上 。 网 络 服务 由 双 穴 主机 上 的 服务 代理 来 提供 。 内 部 网 和 外 部 网 的 用 户 可 通过 
双 穴 主机 的 共享 数据 区 传递 数据 ， 从 而 保护 了 内 部 网 络 不 被 非法 访问 。 
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8.5 网 络 入 侵 检 测 技术 


8.5.1 入 侵 检测 的 定义 


入 侵 检 测 系统 (Intrusion Detection System，IDS) 指 的 是 一 种 硬件 或 者 软件 系统 ， 该 系统 
对 系统 资源 的 非 授权 使 用 能 够 做 出 及 时 的 判断 、 记 录 和 报警 。 

入 侵 者 可 分 为 两 类 : 外 部 入 侵 者 和 内 部 入 侵 者 。 外 部 入 侵 者 一 般 指 来 自 局 域 网 外 的 非 
法 用 户 和 访问 受 限制 资源 的 内 部 用 户 ; 内 部 入 侵 者 指 假扮 成 其 他 有 权 访 问 敏感 数据 的 内 部 
用 户 或 者 是 能 够 关闭 系统 审计 的 内 部 用 户 ， 内 部 入 侵 者 不 仅 难 以 发 现 而 且 更 具有 危险 性 。 


8.5.2 ”入 侵 检 测 系统 


入 侵 检测 系统 主要 通过 以 下 几 种 活动 来 完成 任务 。 

(1) 监视 、 分 析 用 户 及 系统 活动 。 

(2) 对 系统 配置 和 系统 弱点 进行 审计 。 

(3) 识别 与 已 知 的 攻击 模式 匹配 的 活动 。 

(4) 对 异常 活动 模式 进行 统计 分 析 。 

(5) 评估 重要 系统 和 数据 文件 的 完整 性 。 

(6) 对 操作 系统 进行 审计 跟踪 管理 ， 并 识别 用 户 违反 安全 策略 的 行为 。 

入 侵 检 测 是 对 防火 墙 的 合理 补充 ， 它 帮助 系统 对 付 网 络 攻击 ， 扩 展 了 系统 管理 员 的 管 
理 能 力 ， 提 高 了 信息 安全 基础 结构 的 完整 性 。 入 侵 检测 被 认为 是 防火 墙 之 后 的 第 二 道 安 全 
闸门 ， 在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 检测 ， 从 而 提供 对 内 部 攻击 、 外 部 攻击 和 
误 操 作 的 实时 保护 。 

对 一 个 成 功 的 入 侵 检 测 系 统 来 讲 ， 它 不 但 可 以 使 系统 管理 员 时 刻 了 解 网 络 系统 的 任何 
变更 ， 还 能 给 网 络 安全 策略 的 制定 提供 指南 。 更 为 重要 的 一 点 是 ， 它 管理 、 配 置 简单 ， 从 
而 使 非 专 业 人 员 可 以 非常 容易 地 获得 网 络 安 全 。 而 且 ， 入 侵 检测 的 规模 还 可 根据 网 络 威胁 、 
系统 构造 和 安全 需求 的 改变 而 改变 。 入 侵 检测 系统 在 发 现 入 侵 后 ， 会 及 时 做 出 响应 ， 包 括 
切断 网 络 连接 、 记 录 事 件 和 报警 等 。 最 早 的 入 侵 检 测 系统 模型 是 由 Dorothy Denning 于 1987 
年 提出 的 ， 该 模型 虽然 与 具体 系统 和 有 具体 输入 无 关 ， 但 是 对 此 后 的 大 部 分 实用 系统 都 有 很 
大 的 借鉴 价值 。 


8.5.3 入侵 检 测 方 法 

1. 异常 入 侵 检测 技术 

异常 入 侵 检测 也 称 为 基于 统计 行为 的 入 侵 检测 。 它 首先 建立 一 个 检测 系统 认为 是 正常 
行为 的 参考 库 ， 并 把 用 户 当前 行为 的 统计 报告 与 参考 库 进 行 比较 ， 寻 找 是 否 有 偏离 正常 值 
的 异常 行为 。 如 果 报告 表明 当前 行为 背离 正常 值 超过 了 一 定 限度 ， 那 么 检测 系统 就 会 将 这 
样 的 活动 视 为 入 侵 。 它 根据 使 用 者 的 行为 或 资源 使 用 状况 的 正常 程度 来 判断 是 否 发 生 入 侵 ， 
并 依赖 于 具体 行为 是 否 出 现 来 检测 。 例 如 一 般 在 白天 使 用 计算 机 的 用 户 ， 如 果 突 然 在 午夜 
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注册 登录 ， 则 被 认为 是 异常 行为 ， 有 可 能 是 某 入 侵 者 在 使 用 。 异 常 入 侵 检测 的 主要 前 提 条 
件 是 入 侵 性 活动 作为 异常 活动 的 子 集 。 理 想 状 况 是 异常 活动 集 同 入 侵 性 活动 集 相等 。 在 这 
种 情况 下 ， 若 能 检测 所 有 的 异常 活动 ， 就 能 检测 所 有 的 入 侵 性 活动 。 可 是 ， 入 侵 性 活动 集 
并 不 总 是 与 异常 活动 集 相 符合 。 活 动 存在 4 种 可 能 性 : @ 入 侵 性 而 非 异常 ，@ 非 入 侵 性 且 
异常 ，@ 非 入 侵 性 且 非 异常 ，@ 入 侵 且 异常 。 

异常 入 侵 检 测 要 解决 的 问题 就 是 构造 异常 活动 集 并 从 中 发 现 入 侵 性 活动 子 集 。 异 常 入 
侵 检 测 方 法 依赖 于 异常 模型 的 建立 ， 不 同 模型 就 构成 不 同 的 检测 方法 。 异 常 检测 通过 观测 
到 的 一 组 测量 值 偏离 度 来 预测 用 户 行为 的 变化 ， 并 做 出 决策 判断 。 异 常 入 侵 检测 的 方法 和 
技术 有 以 下 几 种 。 

(1) 统计 异常 检测 方法 。 统 计 异 常 检测 方法 根据 异常 检测 器 观察 主体 的 活动 ， 然 后 产 
生 描 述 这 些 活动 的 行为 的 轮廓 。 每 一 个 轮廓 记录 用 户 的 当前 行为 ， 并 定时 地 将 当前 的 轮廓 
与 存储 的 轮廓 合并 。 通 过 比较 当前 的 轮廓 与 存储 的 轮廓 来 判断 异常 行为 ， 从 而 检测 出 网 络 
入 侵 。 统 计 异 常 检测 方法 的 优点 是 所 应 用 的 技术 方法 在 统计 学 中 已 经 得 到 很 好 的 研究 ， 但 
统计 入 侵 检测 系统 可 能 不 会 发 觉 事 件 中 互相 依次 相连 的 入 侵 行 为 。 

(2) 特征 选择 异常 检测 方法 。 基 于 特征 选择 异常 检测 方法 是 通过 从 一 组 参数 数据 中 挑 
选 能 检测 出 入 侵 的 参数 构成 子 集 来 准确 地 预测 或 分 类 已 检测 到 的 入 侵 。 异 常 入 侵 检 测 的 困 
难 问题 是 在 异常 活动 和 入 侵 活动 之 间 做 出 判断 。 判 断 符合 实际 的 参数 很 复杂 ， 因 为 合适 地 
选择 参数 子 集 依 赖 于 检测 到 的 入 侵 类 型 ， 一 个 参数 集 对 所 有 的 各 种 各 样 的 入 侵 类 型 不 可 能 
是 足够 的 。 预 先 确定 特定 的 参数 来 检测 入 侵 ， 可 能 会 错过 单独 的 特别 的 环境 下 的 入 侵 。 

(3) 基于 神经 网 络 异 常 检测 方法 。 基 于 神经 网 络 入 侵 检测 方法 是 训练 神经 网 络 连续 的 
信息 单元 ， 信 息 单元 指 的 是 命令 。 网 络 的 输入 层 是 用 户 当 前 输入 的 命令 和 已 执行 过 的 命令 ; 
用 户 执行 过 的 命令 被 神经 网 络 使 用 来 预测 用 户 输入 的 下 一 个 命令 。 若 神经 网 络 被 训练 成 预 
测 用 户 输入 命令 序列 集合 ， 则 神经 网 络 就 构成 用 户 的 轮廓 框架 。 当 用 这 个 神经 网 络 预测 不 
出 某 用 户 正确 的 后 继 命 令 ， 即 在 某 种 程度 上 表明 了 用 户 行 为 与 其 轮廓 框架 的 偏离 ， 这 时 有 
异常 事件 发 生 ， 以 此 就 能 进行 异常 入 侵 检 测 。 

(4) 基于 机 器 学 习 异 常 检 测 方 法 。 这 种 异常 检测 方法 通过 机 器 学 习 实 现 入 侵 检测 ， 其 
主要 的 方法 有 死记 硬 背 式 、 监 督 、 学 习 、 归 纳 学 习 (示例 学 习 )、 类 比 学 习 等 。Terran 和 Carla 
E. Brodley 将 异常 检测 问题 归结 为 根据 离散 数据 临时 序列 学 习 获 得 个 体 、 系 统 和 网 络 的 行为 
特征 。 并 提出 一 个 基于 相似 度 实例 学 习 方 法 (IBL)， 该 方法 通过 新 的 序列 相似 度 计 算 ， 将 原 
始 数据 (如 离散 事件 流 、 无 序 的 记录 ) 转 化 成 可 度量 的 空间 。 然 后 ， 应 用 IBL 学 习 技 术 和 一 种 
新 的 基于 序列 的 分 类 方法 ， 从 而 发 现 异常 类 型 事件 ， 以 此 检测 入 侵 ， 其 中 闷 值 的 选取 由 成 
员 分 类 的 概率 决定 。 

(5) 基于 数据 挖掘 异常 检测 方法 。 计 算 机 联网 导致 大 量 审计 记录 ， 而 且 审计 记录 大 多 
是 以 文件 形式 存放 。 若 单独 依靠 手工 方法 去 发 现 记 录 中 的 异常 现象 是 不 够 的 ， 而 且 操作 不 
便 ， 不 容易 找 出 审计 记录 间 的 相互 关系 。Wenkelee 和 Salvatore J Stolfo 将 数据 挖掘 技术 应 
用 到 入 侵 检 测 研究 领域 中 ， 从 审计 数据 或 数据 流 中 提取 感 兴趣 的 知识 ， 这 些 知 识 是 隐 含 的 、 
事先 未 知 的 潜在 有 用 信息 ， 提 取 的 知识 表示 为 概念 、 规 则 、 规 律 、 模 式 等 形式 ， 并 用 这 些 
知识 去 检测 异常 入 侵 和 已 知 的 入 侵 。 基于 数据 挖掘 异常 检测 方法 目前 已 有 现成 的 KDD 算法 
可 以 借用 ， 这 种 方法 的 优点 在 于 适合 处 理 大 量 数据 情况 。 但 是 ， 对 于 实时 入 侵 检测 则 还 存 
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注册 登录 ， 则 被 认为 是 异常 行为 ， 有 可 能 是 某 入 侵 者 在 使 用 。 异 常 入 侵 检测 的 主要 前 提 条 
件 是 入 侵 性 活动 作为 异常 活动 的 子 集 。 理 想 状 况 是 异常 活动 集 同 入 侵 性 活动 集 相等 。 在 这 
种 情况 下 ， 若 能 检测 所 有 的 异常 活动 ， 就 能 检测 所 有 的 入 侵 性 活动 。 可 是 ， 入 侵 性 活动 集 
并 不 总 是 与 异常 活动 集 相 符合 。 活 动 存在 4 种 可 能 性 : @ 入 侵 性 而 非 异常 ，@ 非 入 侵 性 且 
异常 ，@ 非 入 侵 性 且 非 异常 ，@ 入 侵 且 异常 。 

异常 入 侵 检 测 要 解决 的 问题 就 是 构造 异常 活动 集 并 从 中 发 现 入 侵 性 活动 子 集 。 异 常 入 
侵 检 测 方 法 依赖 于 异常 模型 的 建立 ， 不 同 模型 就 构成 不 同 的 检测 方法 。 异 常 检测 通过 观测 
到 的 一 组 测量 值 偏离 度 来 预测 用 户 行为 的 变化 ， 并 做 出 决策 判断 。 异 常 入 侵 检测 的 方法 和 
技术 有 以 下 几 种 。 

(1) 统计 异常 检测 方法 。 统 计 异 常 检测 方法 根据 异常 检测 器 观察 主体 的 活动 ， 然 后 产 
生 描 述 这 些 活动 的 行为 的 轮廓 。 每 一 个 轮廓 记录 用 户 的 当前 行为 ， 并 定时 地 将 当前 的 轮廓 
与 存储 的 轮廓 合并 。 通 过 比较 当前 的 轮廓 与 存储 的 轮廓 来 判断 异常 行为 ， 从 而 检测 出 网 络 
入 侵 。 统 计 异 常 检测 方法 的 优点 是 所 应 用 的 技术 方法 在 统计 学 中 已 经 得 到 很 好 的 研究 ， 但 
统计 入 侵 检测 系统 可 能 不 会 发 觉 事 件 中 互相 依次 相连 的 入 侵 行 为 。 

(2) 特征 选择 异常 检测 方法 。 基 于 特征 选择 异常 检测 方法 是 通过 从 一 组 参数 数据 中 挑 
选 能 检测 出 入 侵 的 参数 构成 子 集 来 准确 地 预测 或 分 类 已 检测 到 的 入 侵 。 异 常 入 侵 检 测 的 困 
难 问题 是 在 异常 活动 和 入 侵 活动 之 间 做 出 判断 。 判 断 符合 实际 的 参数 很 复杂 ， 因 为 合适 地 
选择 参数 子 集 依 赖 于 检测 到 的 入 侵 类 型 ， 一 个 参数 集 对 所 有 的 各 种 各 样 的 入 侵 类 型 不 可 能 
是 足够 的 。 预 先 确定 特定 的 参数 来 检测 入 侵 ， 可 能 会 错过 单独 的 特别 的 环境 下 的 入 侵 。 

(3) 基于 神经 网 络 异 常 检测 方法 。 基 于 神经 网 络 入 侵 检测 方法 是 训练 神经 网 络 连续 的 
信息 单元 ， 信 息 单元 指 的 是 命令 。 网 络 的 输入 层 是 用 户 当 前 输入 的 命令 和 已 执行 过 的 命令 ; 
用 户 执行 过 的 命令 被 神经 网 络 使 用 来 预测 用 户 输入 的 下 一 个 命令 。 若 神经 网 络 被 训练 成 预 
测 用 户 输入 命令 序列 集合 ， 则 神经 网 络 就 构成 用 户 的 轮廓 框架 。 当 用 这 个 神经 网 络 预测 不 
出 某 用 户 正确 的 后 继 命 令 ， 即 在 某 种 程度 上 表明 了 用 户 行 为 与 其 轮廓 框架 的 偏离 ， 这 时 有 
异常 事件 发 生 ， 以 此 就 能 进行 异常 入 侵 检 测 。 

(4) 基于 机 器 学 习 异 常 检 测 方 法 。 这 种 异常 检测 方法 通过 机 器 学 习 实 现 入 侵 检测 ， 其 
主要 的 方法 有 死记 硬 背 式 、 监 督 、 学 习 、 归 纳 学 习 (示例 学 习 )、 类 比 学 习 等 。Terran 和 Carla 
E. Brodley 将 异常 检测 问题 归结 为 根据 离散 数据 临时 序列 学 习 获 得 个 体 、 系 统 和 网 络 的 行为 
特征 。 并 提出 一 个 基于 相似 度 实例 学 习 方 法 (IBL)， 该 方法 通过 新 的 序列 相似 度 计 算 ， 将 原 
始 数据 (如 离散 事件 流 、 无 序 的 记录 ) 转 化 成 可 度量 的 空间 。 然 后 ， 应 用 IBL 学 习 技 术 和 一 种 
新 的 基于 序列 的 分 类 方法 ， 从 而 发 现 异常 类 型 事件 ， 以 此 检测 入 侵 ， 其 中 闷 值 的 选取 由 成 
员 分 类 的 概率 决定 。 

(5) 基于 数据 挖掘 异常 检测 方法 。 计 算 机 联网 导致 大 量 审计 记录 ， 而 且 审计 记录 大 多 
是 以 文件 形式 存放 。 若 单独 依靠 手工 方法 去 发 现 记 录 中 的 异常 现象 是 不 够 的 ， 而 且 操作 不 
便 ， 不 容易 找 出 审计 记录 间 的 相互 关系 。Wenkelee 和 Salvatore J Stolfo 将 数据 挖掘 技术 应 
用 到 入 侵 检 测 研究 领域 中 ， 从 审计 数据 或 数据 流 中 提取 感 兴趣 的 知识 ， 这 些 知 识 是 隐 含 的 、 
事先 未 知 的 潜在 有 用 信息 ， 提 取 的 知识 表示 为 概念 、 规 则 、 规 律 、 模 式 等 形式 ， 并 用 这 些 
知识 去 检测 异常 入 侵 和 已 知 的 入 侵 。 基于 数据 挖掘 异常 检测 方法 目前 已 有 现成 的 KDD 算法 
可 以 借用 ， 这 种 方法 的 优点 在 于 适合 处 理 大 量 数据 情况 。 但 是 ， 对 于 实时 入 侵 检测 则 还 存 
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在 问题 ， 需 要 开发 出 有 效 的 数据 挖掘 算法 和 适应 的 体系 。 
另外 ， 还 有 基于 贝 叶 斯 聚 类 异常 检测 方法 、 基 于 贝 叶 斯 推理 异常 检测 方法 、 基 于 贝 叶 
斯 网 络 异 常 检测 方法 、 基 于 模式 预测 异常 检测 方法 等 。 


2. 误 用 入 侵 检测 技术 


误 用 入 侵 检测 又 称 为 基于 规则 和 知识 的 入 侵 检测 。 它 运用 已 知 攻击 方法 ， 即 根据 已 定 
义 好 的 入 侵 模式 ， 把 当前 模式 与 这 些 入 侵 模式 相 匹配 来 判断 是 否 出 现 了 入 侵 。 因 为 很 大 一 
部 分 入 侵 是 利用 了 系统 的 脆弱 性 ， 通 过 分 析 入 侵 过 程 的 特征 、 条 件 、 排 列 及 事件 间 关 系 ， 
具体 描述 入 侵 行 为 的 迹象 。 这 些 迹象 不 仅 对 分 析 已 经 发 生 的 入 侵 行为 有 帮助 ， 而 且 对 即将 
发 生 的 入 侵 也 有 警戒 作用 ， 因 为 只 要 部 分 满足 这 些 入 侵 迹 象 ， 就 意味 着 可 能 有 入 侵 发 生 。 

误 用 入 侵 检测 是 指 根据 已 知 的 入 侵 模式 来 检测 入 侵 。 入 侵 者 常常 利用 系统 和 应 用 软件 
中 的 弱点 进行 攻击 ， 而 这 些 弱 点 易 被 编 成 某 种 模式 ， 如 果 入 侵 者 攻击 方式 恰好 匹配 上 检测 
系统 中 的 模式 库 ， 则 入 侵 者 即 被 检测 到 ， 显 然 ， 误 用 入 侵 检测 依赖 于 模式 库 ， 如 果 没 有 构 
造 好 模式 库 ， 则 IDS 就 不 能 检测 到 入 侵 者 。 例 如 ，Internet 蠕虫 攻击 (Worm Attack) 使 用 了 
Fingered 和 Sendmail 错误 (Bugs)， 可 以 使 用 误 用 检测 。 与 异常 入 侵 检 测 相 反 ， 误 用 入 侵 检测 
能 直接 检测 不 利 的 或 不 能 接受 的 行为 ， 而 异常 入 侵 检 测 是 发 现 同 正常 行为 相 违背 的 行为 。 

误 用 入 侵 检 测 的 主要 假设 是 具有 能 够 被 精确 地 按 某 种 方式 编码 的 攻击 ， 并 可 以 通过 捕 
获 攻 击 及 重新 整理 ， 确 认 入 侵 活动 是 基于 同一 弱点 进行 攻击 的 入 侵 方 法 的 变种 。 误 用 入 侵 
检测 方法 和 技术 主要 有 以 下 几 种 。 

(1) 基于 条 件 概率 误 用 入 侵 检 测 方法 。 基 于 条 件 概率 误 用 入 侵 检 测 方法 将 入 侵 方 式 对 
应 一 个 事件 序列 ， 然 后 通过 观测 到 的 事件 发 生 情 况 来 推测 入 侵 出 现 。 这 种 方法 的 依据 是 外 
部 事件 序列 ， 根 据 贝 叶 斯 定理 进行 推理 检测 入 侵 。 基 于 条 件 概率 误 用 入 侵 检 测 方法 是 对 贝 
叶 斯 方法 的 改进 ， 其 缺点 是 先 验 概率 难以 给 出 ， 而 且 事件 的 独立 性 难以 满足 。 

(2) 基于 专家 系统 误 用 入 侵 检 测 方法 。 基 于 专家 系统 误 用 入 侵 检测 方法 是 通过 将 安全 
专家 的 知识 表示 成 入 Then 规则 形成 专家 知识 库 ， 然 后 ， 运 用 推理 算法 进行 检测 入 侵 。 入 侵 
检测 专家 系统 应 用 的 实际 问题 是 要 处 理 大 量 的 数据 和 依赖 于 审计 跟踪 的 次 序 。 

(3) 基于 状态 迁移 分 析 误 用 入 侵 检测 方法 。 状 态 迁 移 分 析 方法 将 攻击 表示 成 一 系列 被 
临近 的 系统 状态 迁移 。 攻 击 模式 的 状态 对 应 于 系统 状态 ， 并 有 具有 迁移 到 另外 状态 的 条 件 判 
断 。 采 用 这 种 方法 的 系统 有 STAT 和 在 UNIX 平台 上 实现 了 的 USTAT。 攻 击 模式 只 能 说 明 
事件 序列 ， 因 此 不 能 说 明 更 复杂 的 事件 。 而 且 ， 除 了 通过 植 入 模型 的 原始 判断 ， 没 有 通用 
的 方法 来 排除 攻击 模式 部 分 匹配 。 

(4) 基于 键盘 监控 误 用 入 侵 检 测 方 法 。 基 于 键盘 监控 误 用 入 侵 检测 方法 假设 入 侵 对 应 
特定 的 击 键 序列 模式 ， 然 后 监测 用 户 击 键 模式 ， 并 将 这 一 模式 与 入 侵 模 式 匹 配 ， 以 此 就 能 
检测 入 侵 。 这 种 方法 的 不 利之 处 是 在 没有 操作 系统 支持 的 情况 下 ， 缺 少 捕获 用 户 击 键 的 可 
靠 方 法 ， 存 在 无 数 击 键 方式 表示 同一 种 攻击 的 可 能 。 而 且 ， 没 有 击 键 语义 分 析 ， 用 户 很 容 

(5) 基于 模型 误 用 入 侵 检测 方法 。 基 于 模型 误 用 入 侵 检测 方法 是 通过 建立 误 用 证 据 模 
型 , 根据 证 据 推理 来 做 出 误 用 发 生 的 判断 结论 。 其 方法 要 点 是 建立 攻击 剧本 (Attack Scenarios) 
数据 库 、 预 警 器 和 规划 者 。 每 个 攻击 剧本 表示 成 一 个 攻击 行为 序列 ， 在 任意 的 给 定时 刻 ， 
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攻击 剧本 的 子 集 都 被 用 来 推断 系统 遭受 入 侵 。 入 侵 检测 系统 根据 当前 的 活动 模型 ， 预 警 器 
产生 下 一 步行 为 ， 用 来 在 审计 跟踪 时 作 验 证 使 用 。 规 划 者 负责 判断 假设 的 行为 是 如 何 反映 
在 审计 跟踪 数据 上 ， 以 及 将 假设 的 行为 变 成 与 系统 相关 的 审计 跟踪 进行 匹配 。 这 种 方法 的 
优点 在 于 具有 坚实 的 数学 来 确定 推理 理论 作为 基础 。 对 于 专家 系统 方法 不 容易 处 理 、 未 确 
定 的 中 间 结 论 ， 可 以 用 模型 证 据 推理 解决 ， 而 且 可 以 减少 审计 数据 量 。 然 而 ， 不 足 的 地 方 
是 ， 增 加 了 创建 每 一 种 入 侵 检测 模型 的 开销 。 此 外 ， 这 种 方法 的 运行 效率 不 能 通过 建造 原 
型 来 说 明 。 
3. 异常 入 侵 检测 与 误 用 入 侵 检测 的 优 缺点 


异常 分 析 方 式 的 优点 是 它 可 以 检测 到 未 知 的 入 侵 ， 缺 点 则 是 漏 报 、 误 报 率 高 ， 异 常 分 
析 一 般 具 有 自 适 应 功能 ， 入 侵 者 可 以 逐渐 改变 自己 的 行为 模式 来 逃避 检测 ， 而 合法 用 户 正 
常 行为 的 突然 改变 也 会 造成 误 报 。 

在 实际 系统 中 ， 统 计算 法 的 计算 量 庞大 ， 效 率 很 低 ， 统 计 点 的 选取 和 参考 库 的 建立 也 
比较 困难 。 与 之 相对 应 ， 误 用 分 析 的 优点 是 准确 率 和 效率 都 非常 高 ， 缺 点 是 只 能 检测 出 模 
式 库 中 已 有 类 型 的 攻击 ， 随 着 新 攻击 类 型 的 出 现 ， 模 式 库 需 要 不 断 更 新 。 

攻击 技术 是 不 断 发 展 的 ， 在 其 攻击 模式 添加 到 模式 库 以 前 ， 新 类 型 的 攻击 就 可 能 会 对 
系统 造成 很 大 的 危害 。 所 以 ， 入 侵 检测 系统 只 有 同时 使 用 这 两 种 入 侵 检测 技术 ， 才 能 避免 
不 足 。 这 两 种 方法 通常 与 人 工 智 能 相 结合 ， 以 使 入 侵 检 测 系统 有 自学 习 的 能 力 。 


8.5.4 窒 缸 和 窗 网 


现 有 的 入 侵 检测 系统 及 其 入 侵 检测 技术 都 存在 一 些 缺 陷 。 为 了 避免 这 一 问题 ， 科 技 人 
员 引 入 了 网 络 诱骗 技术 ， 即 蜜 镀 (Honeypot) 和 蜜 网 (Honeynet) 技 术 。 


1. 宣 色 


Honeypot 是 一 种 网 络 入 侵 检测 系统 ， 它 诱导 攻击 者 访问 预先 设置 的 蜜 缸 而 不 是 工作 中 
的 网 络 ， 从 而 提高 检测 攻击 和 攻击 者 行为 的 能 力 ， 降 低 攻击 带 来 的 破坏 。 

Honeypot 的 目的 有 两 个 : 一 是 在 不 被 攻击 者 察觉 的 情况 下 监视 他 们 的 活动 ， 收 集 与 攻 
击 者 有 关 的 所 有 信息 ; 二 是 牵制 他 们 ， 让 他 们 将 时 间 和 资源 都 耗费 在 攻击 Honeypot 上 ， 从 
而 远离 实际 的 工作 网 络 。 

为 了 达到 这 两 个 目的 ，Honeypot 的 设计 方式 必须 与 实际 的 系统 一 样 ， 还 应 包括 一 系列 
能 够 以 假 乱 真 的 文件 、 目 录 及 其 他 信息 。 这 样 一 旦 攻击 者 入 侵 Honeypot， 会 以 为 自己 控制 
了 一 个 很 重要 的 系统 ， 刺 激 他 充分 施展 他 的 “才能 ”。 而 Honeypot 就 像 监视 器 一 样 监视 攻 
击 者 的 所 有 行动 : 记录 攻击 者 的 访问 企图 ， 捕 获 击 键 ， 确 定 被 访问 、 修 改 或 删除 的 文件 ， 
指出 被 攻击 者 运行 的 程序 等 。 从 捕获 的 数据 中 ， 可 以 学 习 攻击 者 的 技术 ， 分 析 系 统 存在 的 
脆弱 性 和 受害 程序 ， 以 便 做 出 准确 快速 的 响应 。 

Honeypot 可 以 是 这 样 一 个 系统 : 模拟 某 些 已 知 的 漏洞 或 服务 ， 模 拟 各 种 操作 系统 ， 在 
某 个 系统 上 做 了 设置 使 它 变 成 “牢笼 ”环境 ， 或 者 是 一 个 标准 的 操作 系统 ， 在 其 上 可 以 打 
开 各 种 服务 。 

Honeypot 与 NIDS 相 比 ， 具 有 如 下 特点 。 
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(1) 较 小 的 数据 量 : Honeypot 仅仅 收集 那些 对 它 进行 访问 的 数据 。 在 同样 的 条 件 下 ， 
NIDS 可 能 会 记录 成 千 上 万 的 报警 信息 ， 而 Honeypot 却 只 有 几 百 条 。 这 使 得 Honeypot 收集 
信息 更 容易 ， 分 析 起 来 也 更 为 方便 。 

(2) 减少 误 报 率 : Honeypot 能 显著 减少 误 报 率 。 任何 对 Honeypot 的 访问 都 是 未 授权 的 、 
非法 的 ， 这 样 Honeypot 检测 攻击 就 非常 有 效 ， 从 而 大 大 减少 了 错误 的 报警 信息 ， 甚 至 可 以 
避免 错 报 。 网 络 安全 人 员 可 以 集中 精力 采取 其 他 的 安全 措施 ， 例 如 及 时 打 软 件 补丁 。 

(3) 捕获 漏 报 : Honeypot 可 以 很 容易 地 鉴别 、 捕 获 针对 它 的 新 的 攻击 行为 。 由 于 针对 
Honeypot 的 任何 操作 都 是 不 正常 的 ， 从 而 使 得 任何 新 的 以 前 没有 见 过 的 攻击 很 容易 暴露 。 

(4) 资源 最 小 化 : Honeypot 所 需要 的 资源 很 少 ， 即 使 工作 在 一 个 大 型 网 络 环境 中 也 是 
如 此 。 一 个 简单 的 Pentium 主机 就 可 以 模拟 具有 多 个 瑟 地 址 的 C 类 网 络 。 


2. 窗 网 


Honeynet 的 概念 是 由 Honeypot 发 展 起 来 的 。 起 初 人 们 为 了 研究 黑客 的 入 侵 行为 ， 在 网 
络 上 放置 了 一 些 专门 的 计算 机 ， 并 在 上 面 运行 专用 的 模拟 软件 ， 使 得 从 外 界 看 来 这 些 计 算 
机 就 是 网 络 上 运行 某 些 操作 系统 的 主机 。 将 这 些 计算 机 联 入 网 络 ， 并 为 之 设置 较 低 的 安全 
防护 等 级 ， 使 入 侵 者 可 以 比较 容易 地 进入 系统 。 入 侵 者 进入 系统 后 ， 一 切 行为 都 会 被 系统 
软件 监控 和 记录 ， 通 过 系统 软件 收集 描述 入 侵 者 行为 的 数据 ， 就 可 以 对 入 侵 者 的 行为 进行 
分 析 。 目 前 Honeypot 的 软件 已 经 有 很 多 ， 可 以 模拟 各 种 各 样 的 操作 系统 ， 如 Windows、 
RadHat、FreeBSD， 甚 至 Cisco 路 由 器 的 iOS。 但 是 模拟 软件 不 能 完全 反映 真实 的 网 络 状 况 ， 
也 不 可 能 模拟 实际 网 络 中 所 出 现 的 各 种 情况 ， 在 其 上 所 收集 到 的 数据 有 很 大 的 局 限 性 ， 所 
以 就 出 现 了 由 真实 计算 机 组 成 的 网 络 Honeynet。 

1) ”Honeynet 与 Honeypot 的 异同 

Honeynet 与 传统 意义 上 的 Honeypot 的 不 同 在 于 下 面 几 点 。 

(1) 一 个 Honeynet 是 一 个 网 络 系统 ， 而 并 非 某 台 单 一 主机 ， 这 一 网 络 系统 是 隐藏 在 防 
火 墙 后 面 的 ， 所 有 进出 的 数据 都 受到 关注 、 捕 获 及 控制 。 这 些 被 捕获 的 数据 可 以 用 于 研究 、 
分 析 入 侵 者 使 用 的 工具 、 方 法 及 动机 。 在 这 个 Honeynet 中 ， 我 们 可 以 使 用 各 种 不 同 的 操作 
系统 及 设备 ， 如 Solaris、Linux、Windows NT、Cisco Switch 等 ， 这 样 建立 的 网 络 环境 看 上 
去 会 更 加 真实 可 信 ， 同 时 还 在 不 同 的 系统 平台 上 运行 不 同 的 服务 ， 比 如 Linux 的 DNS 
Server、Windows NT 的 Web Server 或 者 一 个 Solaris 的 FTP Server， 我 们 可 以 学 习 不 同 
的 工具 以 及 不 同 的 策略 一 一 或 许 某 些 入 侵 者 仅仅 把 目标 定 于 几 个 特定 的 系统 漏洞 上 ， 而 我 
们 这 种 多 样 化 的 系统 就 可 能 更 多 地 揭示 出 它们 的 一 些 特性 。 

(2) Honeynet 中 的 所 有 系统 都 是 标准 的 机 器 ， 上 面 运 行 的 都 是 真实 完整 的 操作 系统 及 
应 用 程序 一 一 就 像 在 互联 网 上 找到 的 系统 一 样 。 没 有 刻意 地 模拟 某 种 环境 或 者 故意 地 使 系 
统 不 安全 。 在 Honeynet 里 面 找到 的 存在 风险 的 系统 ， 与 互联 网 上 一 些 公司 或 组 织 的 真实 系 
统 毫 无 二 致 。 你 可 以 把 你 的 操作 系统 直接 放 到 Honeynet 中 ， 并 不 会 对 整个 网 络 造 成 影响 。 

(3) Honeypot 是 通过 把 系统 的 脆弱 性 暴露 给 入 侵 者 或 是 故意 使 用 一 些 具 有 强烈 诱惑 性 
的 信息 (如 战略 性 目标 、 年 度 报 表 等 ) 的 假 信息 来 诱骗 入 侵 者 , 这 样 昌 可 以 对 入 侵 者 进行 跟踪 ， 
但 也 会 引 来 更 多 的 潜在 入 侵 者 (他 们 因 好 奇 而 来 )。 而 更 进一步 ， 应 该 是 在 实际 的 系统 中 运行 
入 侵 检测 系统 ， 当 检测 到 入 侵 行为 时 ， 才 能 进行 诱骗 ， 从 而 更 好 地 保护 自己 。Honeynet 是 








F 第 . : 志 于 于 于 于 EN 川 川 硬 
在 入 侵 检测 的 基础 上 实现 入 侵 诱 骗 ， 这 与 目前 Honeypot 理论 差别 很 大 。 : 
2) ”Honeynet 原型 系统 
8-3 将 防火 墙 、IDS、 二 层 网 关 和 Honeynet 有 机 地 结合 起 来 ， 设 计 了 一 个 Honeynet 
的 原型 系统 。 
在 图 8-3 中 ， 外 部 防火 墙 与 系统 原 有 安全 措施 兼容 ， 只 需 对 其 安全 策略 进行 调整 ， 使 之 
适应 加 入 的 Honeynet 诱骗 系统 。 其 上 实现 Honeynet 的 入 侵 检测 子 系统 和 入 侵 行 为 重 定向 子 
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8-3 ”Honeynet 原型 系统 


图 8-3 中 采用 了 二 层 网 关 ( 也 称 网 桥 )。 由 于 网 桥 没 有 卫 协议 栈 ， 也 就 没有 下 地 址 、 路 
由 通信 量 及 TTL 缩减 等 特征 ， 入 侵 者 难以 发 现 网 桥 的 存在 ， 也 不 会 知道 自己 正 处 于 被 分 析 
和 监控 之 中 。 而 且 所 有 出 入 Honeynet 的 通信 量 必须 通过 网 关 ， 这 意味 着 在 单一 的 网 关 设 备 
上 就 可 以 实现 对 全 部 出 入 通信 量 的 数据 控制 和 捕获 。 通 过 对 网 桥 上 rc.firewall 和 snortsh 等 
脚本 的 配置 , 可 以 实现 Honeynet 的 防火 墙 与 IDS 的 智能 连接 控制 、 防 火 墙 日 志 以 及 IDS 日 
志 功 能 。 
网 关 有 A、B、C 三 个 网 络 接口 。A 接口 用 于 和 外 部 防火 墙 相连 ， 接 收 重 定向 进来 的 可 
疑 或 真正 入 侵 的 网 络 连接 ，B 接口 用 于 Honeynet 内 部 管理 以 及 远程 日 志 等 功能 ;，C 接口 用 
于 和 Honeypot 主机 相连 , 进行 基于 网 络 的 入 侵 检 测 , 实时 记录 Honeynet 系统 中 的 入 侵 行 为 。 
可 以 根据 需要 在 网 桥 上 运行 网 络 流量 仿真 软件 ， 通 过 仿真 流量 来 麻 兽 入 侵 者 。 路 由 器 、 外 
部 防火 墙 和 二 层 网 关 为 Honeynet 提供 了 较 高 的 安全 保障 。 

两 台 Honeypot 主机 各 自 虚拟 两 个 客户 操作 系统 ，4 个 客户 操作 系统 分 别 拥有 各 自 的 网 
络 接口 。 根 据 DMZ 区 的 应 用 服务 来 模拟 部 署 脆弱 性 服务 ， 并 应 用 卫 空间 欺骗 技术 来 增加 
入 侵 者 的 搜索 空间 ， 运 用 网 络 流量 仿真 、 网 络 动 态 配 置 和 组 织 信息 欺骗 等 多 种 网 络 攻击 诱 
骗 技 术 来 提高 Honeynet 的 诱骗 质量 。 通 过 这 种 虚实 结合 的 方式 来 构建 一 个 虚拟 Honeynet 
脆弱 性 模拟 子 系统 ， 与 入 侵 者 进行 交互 周旋 。 

为 了 进行 隐蔽 的 远程 日 志和 Honeynet 管 理工 作 , 可 以 在 Honeypot 主 机 的 宿主 操作 系统 、 
网 关 和 远程 日 志 服务 器 上 分 别 添 加 一 个 网 卡 ， 互 联 成 一 个 对 入 侵 者 透明 的 私有 网 络 。 远 程 
日 志 服 务 器 除了 承担 远程 传 来 的 防火 墙 日 志 、IDS 日 志 以 及 Honeypot 系统 日 志 三 重 日 志 的 
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数据 融合 工作 以 外 ， 还 充当 了 Honeynet 的 入 侵 行为 控制 中 心 ， 对 Honeynet 各 个 子 系统 进 
行 协调 、 控 制 和 管理 。 远 程 日 志 服务 器 的 安全 级 别 最 高 ， 关 闭 了 所 有 不 需要 的 服务 。 
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随 着 计算 机 技术 的 迅速 发 展 ， 除 了 带 来 生活 上 的 巨大 改变 ， 各 种 网 络 问题 也 随 之 而 来 。 
本 章 首先 介绍 了 网 络 与 系统 安全 的 概念 以 及 存在 的 安全 威胁 ， 然 后 从 恶意 攻击 本 身 、 恶 意 
攻击 的 检测 、 防 护 等 方面 全 方位 介绍 了 恶意 攻击 ， 概 述 了 恶意 攻击 的 概念 ， 分 析 了 恶意 攻 
击 的 来 源 ， 并 且 分 别 对 病毒 和 木马 的 攻击 原理 进行 了 比较 详细 的 剖析 。 通 过 学 习 本 章 内 容 ， 
可 以 使 读者 掌握 基本 的 应 对 网 络 攻击 的 方法 。 
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学 习 导 读 


本 章 主要 介绍 物 联 网 系统 安全 设计 和 物 联 网 安全 的 技术 应 用 ， 详 
细 介 绍 EPCglobal 网 络 安全 技术 及 其 应 用 。 学 习 本 章 ， 能 够 使 读者 掌 
握 物 联网 安全 技术 的 应 用 和 设计 方法 。 
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9.1 物 联网 系统 安全 设计 


9.1.1 面向 主题 的 物 联网 安全 模型 及 应 用 


面向 主题 的 物 联网 安全 模型 设计 过 程 分 为 4 个 步骤 。 

(1) 对 物 联网 进行 主题 划分 。 

(2) 分 析 主 题 的 技术 支持 。 

(3) 物 联网 主题 的 安全 性 需求 分 析 。 

(4) 主题 安全 模型 设计 与 实现 。 

1. 对 物 联网 进行 主题 划分 

互联 网 的 网 络 安全 是 从 技术 的 角度 进行 研究 的 ， 目 的 是 解决 已 经 存在 于 互联 网 中 的 安 
全 问题 ， 例 如 常见 的 防火 墙 技术 、 入 侵 检 测 技术 、 数 据 加 /解密 、 数 字 签名 和 身份 认证 等 技 
术 ， 都 是 从 技术 的 细节 去 解决 已 存在 的 网 络 安全 问题 ， 也 使 得 网 络 安全 一 直 处 于 被 动 地 位 。 
面 对 新 出 现 的 病毒 、 蠕 虫 或 者 木马 ， 已 有 的 安全 技术 往往 无 法 在 第 一 时 间 进 行 安全 的 防护 ， 
必须 经 过 安全 专家 分 析 研 究 才能 获得 解决 的 方法 。 

面向 主题 的 设计 思想 是 将 物 联网 进行 系统 化 的 抽象 划分 。 在 进行 主题 的 划分 中 ， 首 先 
应 避免 的 就 是 从 技术 的 角度 进行 分 类 ， 如 果 以 技术 进行 划分 ， 则 物 联网 的 安全 研究 也 必 将 
走 上 面向 技术 的 安全 研究 的 套路 。 其 次 就 是 应 对 物 联 网 进行 系统 化 的 主题 分 类 。 相 对 互联 
网 而 言 ， 物 联网 的 结构 更 加 复杂 ， 因 此 ， 物 联网 的 安全 必须 进行 系统 化 、 主 题 化 的 研究 ， 
否则 ， 物 联网 的 安全 研究 将 处 于 一 种 混乱 的 状态 。 

在 对 物 联网 的 定义 和 物 联 网 的 工作 运行 机 制 进行 研究 的 基础 上 ， 可 将 物 联网 划分 为 8 
个 主题 ， 如 图 9-1 所 示 。 

(1) 通信 : 将 物 联网 中 各 种 物体 设备 进行 连接 的 各 种 通信 技术 为 物 联网 中 物 与 物 的 信 
息 传递 提供 技术 支持 。 

(2) 身份 标识 : 在 物 联网 中 每 个 物体 设备 都 需要 唯一 的 身份 标识 ， 如 同人 类 的 身份 证 



































一 样 。 
(3) 定位 和 跟踪 : 通过 射频 技术 、 无 线 网 络 和 全 球 定位 等 技术 ， 对 连接 到 物 联网 中 的 
物体 设备 进行 物理 位 置 的 确定 和 信息 的 动态 跟踪 。 

(4) 传输 途径 : 在 物 联 网 中 ， 各 种 物体 设备 间 的 信息 传递 都 需要 一 定 的 传输 路 径 ， 主 
要 指 与 物 联网 相关 的 各 种 物理 传输 网 络 。 

(5) 通信 设备 : 连接 到 物 联 网 中 的 各 种 物体 设备 ， 物 体 间 可 以 通过 物 联网 进行 通信 ， 
进行 信息 的 传递 和 交互 。 

(6) 感应 器 : 在 物 联网 中 ， 能 够 随时 随地 获得 物体 设备 的 信息 且 需 要 遍布 于 各 个 角落 。 

(7) 执行 机 构 : 在 物 联 网 中 发 送 的 命令 信息 ， 最 终 的 执行 体 即 为 执行 机 构 。 

(8) 存储 : 在 物 联网 中 进行 信息 的 储存 。 

2. 分 析 主 题 的 技术 支持 

通过 对 物 联网 主题 的 安全 属性 要 求 的 研究 ， 为 物 联网 主题 的 安全 研究 指明 了 方向 。 为 
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了 加 快 物 联网 安全 的 发 展 ， 推 动物 联网 快速 、 稳 定 地 发 展 ， 在 物 联 网 主题 的 安全 研究 中 ， 
可 以 将 互联 网 中 安全 防御 技术 应 用 到 物 联 网 中 。 因 此 ， 在 对 物 联网 主题 的 安全 进行 分 析 之 
前 ， 需 要 分 析 目 前 的 安全 属性 现状 。 
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9-1 物 联网 的 主题 


(1) 通信 。 通 信 主 题 主要 包括 无 线 传输 技术 和 有 线 传输 技术 ， 其 中 无 线 传输 技术 在 物 
联网 的 体系 机 构 中 将 起 到 至 关 重 要 的 作用 ， 其 涉及 的 技术 主要 包括 WLAN( 无 线 局 域 网 )、 
4G( 第 四 代 移 动 通信 技术 )、UWB( 超 宽带 无 线 通信 技术 ) 及 蓝牙 等 技术 。 

(2) 身份 标识 。 在 物 联网 中 ， 任 何 物体 都 有 唯一 的 身份 标识 ， 可 用 于 身份 标识 的 技术 
主要 有 一 维 条 码 、 二 维 条 码 、 射 频 识别 技术 、 生 物 特 征 和 视频 录像 等 相关 技术 。 

(3) 定位 和 跟踪 。 定 位 跟踪 是 物 联 网 的 功能 之 一 ， 其 主要 的 技术 支持 包括 射频 识别 、 
全 球 移动 通信 、 全 球 定位 和 传感器 等 技术 。 

(4) 传输 途径 。 物 联网 的 传输 途径 既 包 括 互联 网 的 主要 传输 网 络 以 太 网 ， 还 包括 传 感 
器 网 络 ， 以 及 其 他 与 物 联网 相连 接 的 网 络 。 

(5) 通信 设备 。 物 联网 中 实现 了 物 与 物 间 的 直接 连接 ， 因 此 物 联网 中 的 通信 设备 种 类 
数目 庞大 ， 例 如 手机 、 传 感 器 、 射 频 设备 、 电 脑 、 卫 星 等 。 

(6) 感应 器 。 感 应 器 用 来 识别 物 联网 中 的 各 种 物体 ， 其 主要 的 感应 属性 有 音频 、 视 频 、 
温度 、 位 置 、 距 离 等 。 

(7) 执行 机 构 。 物 联网 中 的 各 个 物体 涉及 各 个 行业 ， 因 此 执行 机 构 对 信号 的 接收 处 理 
也 千差万别 。 

(8) 存储 。 存 储 主 题 主要 记录 和 保存 物 联网 中 的 各 种 信息 , 用 分 布 式 哈 希 表 (DHT) 储 存 。 

3. 物 联网 主题 的 安全 属性 需求 分 析 

通过 对 物 联 网 的 主题 划分 和 相关 技术 的 研究 ， 为 面向 主题 的 物 联网 安全 模型 的 设计 研 
究 打 下 了 坚实 的 基础 。 物 联网 中 的 主题 对 安全 属性 的 要 求 既 有 共同 点 又 有 差异 性 ， 因 此 需 
要 针对 物 联网 各 个 主题 的 特征 进行 安全 属性 的 需求 分 析 研 究 。 在 分 析 研 究 了 信息 安全 的 基 
本 属性 的 基础 上 , 被 信息 界 称 为 “滴水 不 漏 ” 的 信息 安全 管理 标准 ISO 17799 将 物 联网 主题 
的 安全 基本 属性 分 为 完整 性 、 保 密 性 、 可 用 性 、 可 审计 性 、 可 控 性 、 不 可 否认 性 和 可 鉴别 
性 ,将 各 种 属性 安全 级 别 分 为 三 个 等 级 : C 为 初级 要 求 ，B 为 中 级 要 求 ，A 为 高 级 要 求 。 下 
面 根据 主题 的 特征 ， 分 析 主 题 的 安全 属性 要 求 。 
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(1) 通信 。 通 信 技 术 的 特征 ， 特 别 是 无 线 传输 的 特性 决定 了 通信 主题 最 易 受 到 外 界 的 
安全 威胁 ， 例 如 窃听 、 伪 装 、 流 量 分 析 、 非 授权 访问 、 信 息 自 改 、 否 认 、 拒 绝 服务 等 。 

(2) 身份 标识 。 物 联网 中 为 了 识别 物体 身份 ， 对 物体 进行 身份 唯一 标识 ， 要 求 身份 标 
识 有 很 好 的 保密 性 ， 以 防止 伪造 、 非 法 算 改 等 威胁 。 

(3) 定位 和 跟踪 。 物 联网 中 物体 都 有 自己 唯一 的 身份 标识 ， 可 以 根据 物体 的 身份 标识 
进行 定位 和 跟踪 ,为 了 防止 非法 用 户 对 物体 进行 非法 跟踪 和 定位 ， 物 联网 的 定位 和 跟踪 的 
主题 安全 属性 要 求 需要 较 高 的 保密 性 和 可 用 性 。 

(4) 传输 途径 。 物 联网 在 传输 途径 中 容易 被 窃听 ， 因 此 在 安全 属性 要 求 中 需要 较 高 的 
完整 性 。 

(5) 通信 设备 。 物 联网 中 的 通信 设备 都 有 相应 的 软件 或 者 嵌入 式 系统 的 支持 ， 因 此 很 
容易 被 非法 算 改 。 

(6) 感应 器 。 感 应 器 作为 物 联网 接收 信号 或 刺激 反应 的 设备 ， 需 要 很 高 的 完整 性 。 

(7) 执行 机 构 。 物 联网 中 的 执行 机 构 涉及 各 个 行业 ， 因 此 其 安全 属性 要 求 主要 涉及 物 
联网 应 用 层 安 全 ， 如 用 户 和 设备 的 身份 认证 、 访 问 权 限 控制 等 。 

(8) 储存 。 物 联网 中 的 信息 储存 同 互联 网 一 样 ， 面 临 着 信息 泄露 、 算 改 等 威胁 ， 因 此 
在 物 联 网 中 的 存储 需要 较 高 的 完整 性 、 保 密 性 要 求 。 

4. 主题 安全 模型 设计 与 实现 

将 物 联网 看 作 一 个 有 机 的 整体 ， 将 其 分 为 感知 层 、 网 络 层 和 应 用 层 。 分 析 和 研究 物 联 
网 各 主题 的 安全 性 ， 并 不 能 保障 整个 物 联网 的 安全 性 ， 还 需要 从 整体 性 的 角度 将 各 个 主题 
串联 起 来 ， 使 其 成 为 一 个 系统 化 的 整体 。 因 此 ， 既 需要 将 物 联 网 的 感知 层 、 网 络 层 和 应 用 
层 相互 隔离 ， 又 需要 将 各 层 系统 化 地 联系 起 来 。 在 物 联网 安全 的 构架 中 ， 将 三 层 体系 结构 
再 细 化 为 五 层 体系 机 构 ， 在 感知 层 和 网 络 层 间 构架 了 隔离 防护 层 ， 在 网 络 层 和 应 用 层 间 也 
增加 了 相应 的 隔离 防护 层 ， 这 样 在 物 联网 出 现 安全 威胁 时 ， 可 以 有 效 地 防止 安全 威胁 在 层 
与 层 间 的 渗透 ， 同 时 可 以 在 层 与 层 之 间 建 立 有 机 的 联系 ， 系 统 化 地 保障 物 联网 的 安全 。 因 
此 ， 在 设计 的 面向 主题 的 物 联网 安全 模型 中 ， 将 网 络 安全 模型 PDRR 引入 物 联网 的 安全 模 
型 中 。 

1) “模型 的 内 核 

模型 的 核心 部 分 就 是 以 主题 为 中 心 的 安全 属性 标准 和 要 求 ， 主 题 的 安全 属性 需要 依据 
主题 自身 的 特点 和 需求 进行 研究 设计 。 该 部 分 是 整个 模型 的 关键 所 在 ， 对 主题 的 安全 属性 
设计 应 遵从 整体 性 、 系 统 化 的 思想 。 

2) “模型 的 系统 

物 联网 体系 构架 由 感知 层 、 网 络 层 和 应 用 层 组 成 ， 在 安全 模型 的 设计 中 ， 这 3 个 层 既 
需要 相互 联系 ， 又 需要 相互 独立 。 在 物 联网 的 安全 模型 设计 中 ， 一 方面 ， 在 层 与 层 间 加 上 
了 防护 层 ， 目 的 是 当 某 一 层 出 现 安全 威胁 时 ， 通 过 隔离 层 的 隔离 作用 ， 防 止 将 安全 威胁 蔓 
延 到 其 他 层次 。 另 一 方面 ， 层 与 层 间 需 要 有 协作 的 功能 ， 作 为 一 个 有 机 整体 ， 在 某 一 层 出 现 
问题 时 ， 需 要 其 他 层 提 供 相应 的 安全 措施 ， 使 物 联网 成 为 一 个 有 机 整体 ， 进 行 安全 的 防御 。 

3) ”模型 的 防护 层 

物 联网 的 安全 不 但 需要 自身 的 安全 策略 ， 同 时 需要 外 界 的 防护 ， 因 此 在 物 联网 的 安全 
模型 中 ， 将 PDRR 安全 模型 加 入 其 中 ， 使 物 联网 的 安全 成 为 一 个 流动 的 实体 ， 其 中 的 预防 、 
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检测 、 响 应 、 恢 复 4 部 分 功能 是 相辅相成 的 。 模 型 的 人 为 因素 在 一 定 程度 上 起 到 了 至 关 重 
要 的 作用 ,因此 在 面向 主题 的 物 联 网 的 安全 模型 中 ,最 外 层 是 安全 管理 。 图 9-2 是 模型 的 三 
维 表示 。 











9-2 ”模型 的 三 维 表示 


9.1.2 ” 物 联 网 公共 安全 云 计算 平台 系统 
本 节 实现 一 个 物 联 网 系统 实例 。 
1. 物 联 网 公共 安全 平台 架构 


结合 目前 业界 统一 的 认定 和 当前 流行 的 技术 ， 初 步 把 物 联网 公共 安全 平台 设计 为 5 个 
层次 ， 分 别 为 感知 层 、 网 络 层 、 支 撑 层 、 服 务 层 、 应 用 层 。 

(1) 感知 层 :对 于 最 前 端 公安 人 员 关 注 的 重点 领域 和 事物 ,通过 各 种 感知 设备 ,如 REFID、 
条 形 识别 码 、 各 种 智能 传感器 、 摄 像 头 、 门 禁 、 票 证 、GPS 等 ， 对 道路 、 车 辆 、 和 危险 物品 、 
重点 人 物 、 交 通 状况 等 重点 感知 领域 ， 进 行 实时 管控 ， 获 取 有 用 数据 。 

(2) 网 络 层 : 主要 用 于 前 方 感知 数据 的 传输 ， 为 了 不 重复 建设 ， 最 大 限度 地 利用 现 有 
网 络 条件 ， 把 公安 专 网 、 无 线 宽带 专 网 、 移 动 公 网 、 有 线 政务 专 网 、 无 线 物 联 数据 专 网 、 
因特网 、 卫星 等 通信 方式 进行 整合 。 

(3) 支撑 层 : 基于 云 计 算 、 云 存储 技术 设计 ， 实 现 分 散 资源 的 集中 管理 以 及 集中 资源 
的 分 散 服务 ， 支 撑 高 效 海量 数据 的 存储 与 处 理 ; 支撑 软件 系统 部 署 在 运行 平台 之 上 ， 实 现 
各 类 感知 资源 的 规范 接 入 、 整 合 、 交 换 与 存储 ， 实 现 各 类 感知 设备 的 基础 信息 管理 ， 实 现 
感知 信息 资源 目录 发 布 与 同步 ， 实 现 感知 设备 证 书 发 布 与 认证 ， 为 感知 设备 的 分 建 共享 提 
供 全 面 支撑 服务 。 

(4) 服务 层 : 基于 拥有 的 丰富 的 数据 资源 和 强大 的 计算 能 力 (依托 云 计 算 平台 )， 为 构建 
一 个 功能 丰富 的 平台 提供 了 基础 。 借 鉴 SOA， 即 面向 服务 的 架构 思想 ， 通 过 仿真 引擎 和 推 
理 引 擎 ， 把 数据 库 、 算 法 库 、 模 型 库 、 知 识 库 紧密 结合 在 一 起 ， 为 应 用 层 的 实际 业务 应 用 
软件 提供 统一 的 服务 接口 ， 对 数据 进行 了 统一 高 效 的 调用 ， 也 保证 了 服务 的 高 可 靠 性 ， 为 
整个 公共 安全 平台 的 后 续 应 用 开发 提供 了 可 扩展 性 。 
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(5) 应 用 层 : 主要 用 来 承载 用 户 实际 使 用 的 各 种 业务 软件 。 例 如 通过 对 警 用 物 联网 业 
务 的 详细 分 析 ， 通 过 调用 服务 层 提供 的 通用 接口 ， 设 计 出 符合 用 户 实际 使 用 的 业务 软件 。 
这 里 将 用 户 分 为 三 类 : 第 一 类 为 相关 技术 人 员 ， 可 以 使 用 平台 提供 的 各 程序 的 服务 接口 和 
各 设备 的 运行 状态 ， 保 证 整个 平台 的 正常 运行 ， 第 二 类 为 基层 民警 ， 可 以 实时 查看 前 端 感 
知 信息 ， 并 对 设备 进行 控制 : 第 三 类 为 高 端 用 户 ， 通 过 系统 智能 分 析 的 协助 ， 对 各 警力 和 
资源 进行 指挥 和 调度 。 

标准 规范 和 信息 安全 体系 应 贯穿 整个 物 联网 架构 的 设计 ， 具 体 应 包括 以 下 若干 方面 。 

(1) 公共 安全 领域 的 传感器 资源 编码 标准 。 

(2) 数据 共享 交换 的 规范 。 

(3) 共享 数据 管理 标准 ， 包 括 公共 数据 格式 标准 、 公 共 数 据 存储 方式 标准 、 共 享 数据 
种 类 标准 等 。 

(4) 传 感 资源 投入 和 建设 的 效益 评价 标准 。 

(5) 新 建设 传 感 资源 和 网 络 的 审批 标准 。 

(6) 物 联 网 公共 安全 基础 设施 建设 标准 。 

物 联网 本 质 上 是 一 种 大 集成 技术 ,设计 的 关键 技术 种 类 繁多 ， 标 准 匈 杂 ， 因 此 ， 物 联 
网 的 关键 和 核心 是 实现 大 集成 的 软件 和 中 间 件 ， 以 及 与 之 相关 的 数据 交换 、 处 理 标 准 和 相 
应 的 软件 架构 。 

感知 层 是 基于 物理 、 化 学 、 生 物 等 技术 发 明 的 传感器 ，“ 标 准 ” 多 成 为 专利 。 网 络 层 
的 有 线 和 无 线 网 络 属于 通用 网 络 ， 有 线 长 距离 通信 基于 成 熟 的 IP 协议 体系 ， 有 线 短 距离 通 
信 以 十 多 种 现场 总 线 标准 为 主 , 无 线 长 距离 通信 基于 GSM 和 CDMA 等 技术 的 2G、3G、4G 
网 络 标准 也 基本 成 熟 ， 无 线 短 距离 通信 针对 不 同 的 频段 也 有 十 多 种 标准 ， 因 此 建立 新 的 物 
联网 通信 标准 难度 较 大 。 

从 以 上 分 析 可 知 ， 目 前 物 联网 标准 的 关键 点 和 大 有 可 为 的 部 分 集中 在 应 用 层 。 在 上 面 
的 架构 中 ， 把 应 用 层 细 分 为 支撑 层 、 服 务 层 和 应 用 层 。 其 中 支撑 层 和 服务 层 对 各 数据 标准 
的 融合 起 到 关键 作用 ， 是 整个 物 联网 运行 的 关键 所 在 。 


2. 数据 支撑 层 设计 思路 


支撑 层 主要 用 于 对 数据 的 处 理 ， 为 上 层 服务 提供 统一 标准 的 安全 数据 。 由 于 整个 物 联 
网 公共 安全 平台 涉及 大 量 的 实时 感知 数据 ， 考 虑 到 计算 能 力 和 成 本 问题 ， 决 定 采用 云 的 架 
构 。 首 先 把 由 网 络 层 上 传 的 数据 进行 规格 化 处 理 ， 并 按照 一 定 规则 算法 初步 过 滤 掉 一 些 无 
用 信息 ， 由 云 计算 数据 中 心 对 数据 进行 存储 和 转发 ， 再 由 各 个 计算 节点 对 数据 进行 接 入 、 
编码 、 整 合 以 及 交换 ， 最 后 形成 数据 目录 ， 便 于 查询 和 使 用 。 同 时 考虑 到 数据 安全 问题 ， 
可 以 设计 数据 容 灾 中 心 进行 应 急 处 理 。 根 据 公 共 安 全 系统 的 现状 分 析 ， 可 采用 云 计 算 中 主 
从 式 分 布 存储 和 数据 中 心 相 结 合 的 云 存 储 思 路 开展 设计 工作 。 通 过 分 布 式 存储 、 统 一 管理 
的 设计 思路 ， 将 公共 安全 平台 内 部 所 有 的 存储 数据 进行 统一 调度 ， 公 安 网 内 部 的 任何 一 台 
主机 都 可 以 是 数据 存储 的 子 节点 ， 从 而 达到 在 任何 时 间 、 网 内 任何 地 点 ， 实 现 完全 的 资源 
共享 。 采 用 计算 偏向 存储 区 域 的 云 计算 思路 ， 将 推理 仿真 等 计算 量 较 大 的 计算 任务 放置 在 
存储 区 域 较 近 的 计算 服务 器 平台 上 ， 以 减少 网 络 带 宽 ， 在 计算 上 采用 服务 器 集群 模式 ， 采 
用 虚拟 化 的 形式 (常见 的 中 间 件 如 VMware 等 ) 实 现 计算 任务 的 综合 调度 分 配 , 以 实现 计算 服 
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务 资源 的 最 大 利用 率 。 
3. 基于 云 计算 的 数据 支撑 平台 体系 架构 


物 联 网 支撑 平台 是 各 类 前 端 感知 信息 通过 传输 网 络 汇聚 的 平台 ， 该 平台 实时 处 理 前 端 
感知 设施 传 入 的 视频 信息 、 数 据 信息 以 及 由 应 用 服务 平台 下 达 的 对 感知 设施 的 控制 指令 ， 
主要 实现 信息 接 入 、 标 准 化 处 理 、 信 息 共享 、 信 息 存 储 及 基础 管理 5 个 功能 。 


9.2 物 联 网 安全 技术 应 用 


物 联 网 安全 技术 在 日 常生 产生 活 中 的 应 用 ， 包 括 物 联网 机 房 远 程 监控 预警 系统 、 物 联 
网 机 房 监控 设备 集成 系统 、 物 联网 门禁 系统 、 物 联网 安防 监控 系统 和 物 联网 智能 监狱 监控 
报警 系统 等 。 本 节 以 物 联网 机 房 远程 监控 预警 系统 和 物 联 网 门禁 系统 为 例 进行 介绍 。 


9.2.1 物 联 网 机 房 远程 监控 预警 系统 
1. 系统 需求 分 析 


在 无 人 值守 的 机 房 环 境 ， 急 需 解决 如 下 问题 。 

(1) 温 控 设 备 无 法 正常 工作 。 一 般 坐 落 在 野外 的 无 人 值守 机 房 内 的 空调 器 均 采用 农用 
电网 直接 供电 ， 在 出 现 供电 异常 后 空调 器 停止 工作 ， 当 供电 正常 后 也 无 法 自动 启动 ， 必 须 
人 为 干预 才能 开机 工作 。 这 就 需要 在 机 房 设 置 可 以 自行 启动 空调 器 的 装置 ， 最 大 限度 地 延 
长 空调 器 的 工作 时 间 ， 提 高 温 控 效果 。 

(2) 环境 异常 情况 无 法 及 时 传递 。 无 人 值守 机 房 基本 没有 环境 报警 系统 ， 即 使 存在 ， 
也 是 单独 工作 的 独立 设备 ， 无 法 保障 环境 异常 情况 及 时 有 效 地 传递 ， 从 而 会 使 设备 或 系统 
发 生 问题 。 因 此 将 机 房 环境 异常 情况 有 效 可 靠 地 传递 也 是 必须 解决 的 问题 。 

(3) 无 集中 有 效 的 监控 预警 系统 。 对 于 机 房 环 境 监控 ， 目 前 还 没有 真正 切实 有 效 的 系 
统 来 保障 机 房 正常 的 工作 环境 。 有 些 机 房 设置 了 机 房 环境 监控 系统 ， 但 系统 结构 相对 单一 ， 
数据 传输 完全 依赖 于 现 有 的 高 速 公路 通信 系统 ， 若 机 房 设备 出 现 故 障 ， 导 臻 通信 系统 出 现 
问题 ， 则 环境 监控 就 陷入 瘫痪 ， 无 法 正常 发 挥 作用 。 

根据 以 上 分 析 ， 无 人 值守 机 房 环境 应 重点 考虑 以 下 3 点 。 

(1) 机 房 短 暂停 电 又 再 次 恢复 供电 ， 机 房 空 调 器 需要 及 时 干预 并 使 其 发 挥 作用 。 

(2) 由 于 机 房 未 能 及 时 来 电 或 者 空调 器 本 身 发 生 故 障 ， 机 房 环境 温度 迅速 升 高 (降低 )， 
超过 设备 工作 温度 阔 值 时 ， 应 能 够 及 时 给 予 相关 人 员 预 警 或 告知 。 

(3) 建立 独立 有 效 的 监控 预警 系统 ， 在 高 速 公 路 机 电 系 统 出 现 问题 时 ， 能 够 保证 有 效 
地 进行 异常 信息 发 送 。 

2. 系统 架构 设计 

环境 监测 是 物 联 网 的 一 个 重要 应 用 领域 ， 物 联网 自动 、 智 能 的 特点 非常 适合 环境 信息 
的 监测 预警 。 

1) “系统 架构 

机 房 环 境 远程 监控 预警 系统 结构 主要 包括 3 部 分 。 
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(1) 感知 层 。 数 据 采 集 单元 作为 微 系统 传 感 节 点 ， 可 以 对 机 房 温度 信息 、 湿 度 信息 等 
进行 收集 。 数 据 信息 的 收集 采取 周期 性 汇报 模式 ， 通 过 3G 或 4G 网 络 技 术 进 行 远程 传输 。 

(2) 网 络 层 。 采 用 运营 商 的 3G 通信 网 络 实现 互联 ， 进 行 数据 传输 ， 将 来 自 感知 层 的 信 
息 上 传 。 

(3) 应 用 层 。 主 要 由 用 户 认 证 系统 、 设 备 管理 系统 和 智能 数据 计算 系统 等 组 成 ， 分 别 
完成 数据 收集 、 传 输 、 报 警 等 功能 ， 构 建 起 面向 机 房 环 境 监 测 的 实际 应 用 ， 如 机 房 环 境 的 
实时 监测 、 趋 势 预测 、 预 警 及 应 急 联动 等 。 

2) ”系统 功能 

系统 功能 主要 分 为 三 大 类 。 

(1) 信息 采集 。 本 系统 通过 内 部 数据 采集 单元 采集 并 记录 机 房 环境 的 信息 ， 然 后 数字 
化 并 通过 3G 网 络 传送 至 集中 管理 平台 系统 。 同 时 ， 若 机 房 增 加 其 他 检测 传感器 ， 如 红外 报 
警 、 烟 雾 报 警 等 ， 也 可 以 接 入 本 系统 的 数据 采集 单元 中 ， 实 现 机 房 全 方位 的 信息 采集 。 

(2) 远程 控制 。 当 发 现 机 房 环境 异常 时 ， 可 以 利用 本 系统 控制 相应 的 设备 进行 及 时 处 
置 ， 如 温度 变化 ， 则 控制 空调 器 或 通风 设施 进行 温度 调整 。 另 外 ， 可 以 在 机 房 增加 其 他 控 
制 设备 ， 如 消防 设施 或 者 监控 设施 、 灯 光 等 。 

(3) 集中 监控 预警 。 在 管理 中 心 设置 一 套 集中 监控 预警 管理 平台 ， 可 以 实时 收集 各 机 
房 的 状态 信息 ， 并 分 析 相关 的 信息 内 容 ， 根 据 现 场 信息 反映 的 情况 ， 采 取 相 应 的 控制 和 预 
警方 案 ， 集 中 统一 管理 各 机 房 的 工作 环境 。 


9.2.2 ” 物 联 网 门禁 系统 


门禁 系统 是 进出 管理 系统 的 一 个 子 系统 ， 通 常 它 采 用 刷卡 、 密 码 或 人 体 生物 特征 识别 
等 技术 ， 在 管理 软件 的 控制 下 ， 对 人 员 或 车 辆 出 入 口 进行 管理 ， 让 取得 认可 进出 的 人 车 自 
由 通行 ， 而 对 那些 不 该 出 入 的 人 则 加 以 禁止 。 因 此 在 许多 需要 核对 人 车 身份 的 处 所 中 ， 门 
禁 系统 已 成 了 不 可 缺少 的 配置 项 目 。 


1. 门禁 系统 的 应 用 要 求 


(1) 可 靠 性 。 门 禁 系统 以 预防 损失 、 犯 罪 为 主要 目的 ， 因 此 必须 具有 极 高 的 可 靠 性 。 
一 个 门禁 系统 在 其 运行 的 大 多 数 时间 内 可 能 没有 警 情 发 生 ， 因 而 不 需要 报警 ， 出 现 警 情 需 
要 报警 的 概率 一 般 是 很 小 的 。 

(2) 权威 认证 。 在 系统 设计 、 设 备 选 取 、 调 试 、 安 装 等 环节 上 都 严格 执行 国家 或 行业 
中 有 关 的 标准 ， 以 及 公安 部 门 有 关 安 全 技术 防范 的 要 求 ， 产 品 须 经 过 多 项 权威 认证 ， 且 有 
众多 的 典型 用 户 ， 多 年 正常 运行 。 

(3) 安全 性 。 门 禁 及 安防 系统 是 用 来 保护 人 员 和 财产 安全 的 ， 因 此 系统 自身 必须 安全 。 
这 里 所 说 的 高 安全 性 ， 一 方面 是 指 产品 或 系统 的 自然 属性 或 准 自然 属性 ， 应 该 保证 设备 、 
系统 运行 的 安全 和 操作 者 的 安全 ， 例 如 设备 和 系统 本 身 要 能 防 高 温 、 低 温 、 温 热 、 烟 雾 、 
霉菌 、 雨 淋 ， 并 能 防 辐射 、 防 电磁 干扰 (电磁 兼容 性 )、 防 冲击 、 防 碰撞 、 防 跌落 等 。 设 备 和 
系统 的 运行 安全 包括 防火 、 防 雷击 、 防 爆 、 防 触电 等 。 另 一 方面 ， 门 禁 及 安防 系统 还 应 
具有 防 人 为 破坏 的 功能 ， 如 具有 防 破坏 的 保护 壳 体 ， 以 及 具有 防 拆 报警 、 防 短路 和 断 开 
等 功能 。 
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(4) 功能 性 。 随 着 人 们 对 门禁 系统 各 方面 要 求 的 不 断 提高 ， 门 禁 系统 的 应 用 范围 越 来 
越 广泛 。 人 们 对 门禁 系统 的 应 用 已 不 局 限 在 单一 的 出 入 口 控制 ， 而 且 还 要 求 它 不 仅 可 应 用 
于 智能 大 厦 或 智能 社区 的 门禁 控制 、 考 勤 管理 、 安 防 报警 、 停 车 场 控制 、 电 梯 控 制 、 楼 宇 
自控 等 ， 还 可 应 用 于 与 其 他 系统 的 联动 控制 。 

(5) 扩展 性 。 门 禁 系 统 应 选择 开放 性 的 硬件 平台 ， 具 有 多 种 通信 方式 ， 为 实现 各 种 设 
备 之 间 的 互联 和 整合 莫 定 良好 的 基础 。 另 外 ， 还 要 求 系统 应 具备 标准 化 和 模块 化 的 部 件 ， 
有 很 大 的 灵活 性 和 扩展 性 。 


2. 门禁 系统 的 功能 


(1) 实时 监控 功能 。 系 统管 理 人 员 可 以 通过 计算 机 实时 查看 每 个 门 区 人 员 进 出 情况 、 
每 个 门 区 的 状态 (包括 门 的 开关 、 各 种 非 正常 状态 报警 等 )， 也 可 以 在 紧急 状态 打开 或 关闭 所 
有 的 门 区 。 

(2) 出 入 记录 查询 功能 。 系 统 可 储存 所 有 的 进出 记录 、 状 态 记录 ， 可 按 不 同 的 查询 条 
件 查询 ， 配 备 相应 考勤 软件 可 实现 考勤 、 门 禁 一 卡通 。 

(3) 异常 报警 功能 。 在 异常 情况 下 ， 可 以 通过 门禁 软件 实现 计算 机 报警 或 外 加 语音 声 
光 报 警 ， 如 非法 侵入 、 门 超时 未 关 等 。 

(4) 防 尾随 功能 。 在 使 用 双向 读 卡 的 情况 下 ， 防 止 一 卡 多 次 重复 使 用 ， 即 一 张 有 效 卡 
刷卡 进门 后 ， 该 卡 必须 在 同一 门 刷卡 出 门 一 次 才 可 以 重新 刷卡 进门 ， 否 则 将 被 视 为 非法 卡 ， 
拒绝 进门 。 

(5) 双 门 互 锁 。 也 叫 AB 门 ， 通 常用 在 银行 金库 ， 它 需要 和 门 磁 配 合 使 用 。 当 门 磁 检测 
到 一 肩 门 没有 锁 上 时 ， 另 一 扇 门 就 无 法 正常 地 打开 。 只 有 当 一 扇 门 正常 锁 住 时 ， 另 一 扇 门 
才能 正常 打开 ， 这 样 就 隔离 出 一 个 安全 的 通道 出 来 ， 使 犯罪 分 子 无 法 进入 ， 达 到 阻碍 延 组 
犯罪 行为 的 目的 。 

(6) 胁迫 码 开 门 。 当 持 卡 者 被 人 劫持 时 ， 为 保证 持 卡 者 的 生命 安全 ， 持 卡 者 输入 胁迫 
码 后 门 能 打开 ， 但 同时 向 控制 中 心 报警 ， 控 制 中 心 接 到 报警 信号 后 就 能 采取 相应 的 应 急 措 
施 。 胁 迫 码 通常 设 为 4 位 数 。 

(7) 消防 报警 监控 联动 功能 。 在 出 现 火警 时 ， 门 禁 系 统 可 以 自动 打开 所 有 电子 锁 ， 让 
里 面 的 人 随时 逃生 。 与 监控 联动 通常 是 指 监控 系统 自动 将 有 人 刷卡 时 (有 效 /无 效 ) 的 情况 录 
下 ， 同 时 也 将 门禁 系统 出 现 警 报时 的 情况 录 下 。 

(8) 网 络 设置 管理 监控 功能 。 大 多 数 门禁 系统 只 能 用 一 台 计 算 机 管理 ， 而 技术 先进 的 
系统 则 可 以 在 网 络 上 任何 一 个 授权 的 位 置 对 整个 系统 进行 设置 监控 查询 管理 ， 也 可 以 通过 
网 络 进行 异地 设置 管理 监控 查询 。 

(9) 逻辑 开门 功能 。 简单 地 说 ,就 是 同一 个 门 需 要 几 个 人 同时 刷卡 (或 其 他 方式 ) 才 能 打 
开 电 控 门 锁 。 

3. 门禁 系统 的 分 类 

按 进 出 识别 方式 ， 可 分 为 以 下 几 类 。 

(1) 密码 识别 。 通 过 检验 输入 密码 是 否 正 确 来 识别 进出 权限 。 这 类 产品 又 分 为 两 类 ， 
一 类 是 普通 型 ， 另 一 类 是 乱 序 键盘 型 (键盘 上 的 数字 不 固定 ， 不 定期 自动 变化 )。 

(2) 卡片 识别 。 通 过 读 卡 或 读 卡 加 密码 方式 来 识别 进出 权限 ， 按 卡片 种 类 又 分 为 磁卡 
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和 射频 卡 。 

(3) 生物 识别 。 通 过 检验 人 员 生 物 特征 等 方式 来 识别 进出 ， 有 指纹 型 、 掌 形 型 、 虹 膜 
型 、 面 部 识别 型 ， 还 有 手指 静脉 识别 型 等 。 

(4) 三 维 码 识别 。 二 维 码 门禁 系统 结合 二 维 码 的 特点 ， 将 给 进入 校园 的 学 生 、 老 师 、 
后 勤 工 作 人 员 、 学 生 家 长 等 发 送 二 维 码 有 效 赁 证， 这样 家 长 在 进入 校园 的 时 候 ， 只 需 轻 松 
地 对 识 读 机 器 扫 一 下 二 维 码 ， 便 于 对 进出 人 员 的 管理 。 作 为 校方 ， 需 要 登记 学 生 家 长 的 手 
机 号 及 家 人 的 二 代 身 份 证 ， 家 长 手机 便 会 收 到 学 校 使 用 二 维 码 校 园 门禁 系统 平台 发 送 的 含 
有 二 维 码 的 短信 ， 同 时 支持 身份 证 、 手 机 进行 验证 ， 从 而 确保 进出 人 员 的 安全 。 

4. 无 线 门禁 系统 的 设计 


由 于 传统 的 门禁 系统 在 施工 和 维护 上 存在 烦琐 、 费 用 高 等 问题 ， 基 于 物 联 网 的 门禁 系 
统 开始 出 现 ， 并 将 门禁 系统 简化 到 了 极致 。 尤 其 是 无 线 的 门禁 系统 ， 主 要 由 平台 与 终端 两 
部 分 组 成 。 

1) 平台 

门禁 云 平台 基于 云 部 署 ， 平 台 通 过 管理 后 台 连 接 各 社区 网 络 ， 做 业务 数据 的 汇总 及 转 
发 ;通过 前 台 门 户 ， 提 供 物业 管理 者 登录 访问 和 管理 操作 。 

2) ”终端 

(1) 门口 机 : 安装 在 小 区 入 口 或 楼 宇 入 口 的 楼 宇 对 讲 及 门禁 终端 ， 访 客 可 以 通过 门口 
机 呼叫 业主 或 住户 ， 与 之 进行 音频 对 讲 ， 并 接收 远程 指令 开门 。 门 口 机 融合 门禁 模块 ， 可 
提供 业主 或 住户 物业 的 IC 卡 或 手机 刷卡 开门 。 

(2) 电信 终端 : 中 国电 信 或 其 他 电信 运营 商 固定 电 话 终端 ， 用 于 接收 来 自 门 禁 云 平台 
的 呼叫 ， 实 现 远 程 对 讲 及 开门 ， 手机 包括 智能 手机 与 普通 手机 ， 用 于 接收 来 自 门 禁 云 平台 
的 呼叫 ， 实 现 远 程 对 讲 及 开门 。 

3) ”关键 技术 

(1) 手机 远程 控制 门禁 。 针 对 现 有 社区 的 楼 宇 对 讲 及 门禁 系统 只 能 在 本 地 内 部 网 络 实 
现 语 音 视频 对 讲 及 控制 门禁 的 问题 ， 我 们 通过 门禁 平台 与 电信 网 络 相 连 ， 同 时 改造 现 有 门 
禁 系 统 中 门口 机 的 软件 系统 ， 增 加 双 注册 软件 模块 及 触发 的 逻辑 机 制 ， 实 现 门 口 机 呼叫 房 
间 室 内 机 的 同时 或 无 人 应 答 时 ， 将 门口 呼叫 送 往 门禁 平台 ， 门 禁 平台 的 后 台 管理 系统 将 接 
通 与 室内 机 绑 定 的 手机 、 固 话 或 多 媒体 终端 等 设备 ， 实 现 远 程 语音 或 视频 对 讲 及 辅助 控制 
门禁 的 功能 。 有 具体 的 手机 控制 门禁 流程 如 图 9-3 所 示 。 

(2) 基于 RFID 带 抓 拍 功能 的 门口 机 。 传统 基于 RFID 的 门口 机 主要 支持 两 种 卡 : ID 卡 
(Identification Card， 身 份 识别 卡 ) 与 IC 卡 (Integrated Circuit Card， 集 成 电路 卡 )。 对 于 这 两 种 
卡 ， 大 多 数 门禁 装置 只 读 取 其 公共 区 的 卡号 数据 ， 根 本 不 具备 卡 数据 的 密 钥 认证 、 读 写 安 
全 机 制 ， 因 此 卡 极 容易 被 复制 、 被 盗 刷 ， 给 出 入 居民 带 来 严重 的 安全 隐患 。 同 时 ， 传 统 的 
基于 RFID 的 门禁 装置 仅 提供 最 基本 的 刷卡 开门 功能 。 因 此 ， 基 于 社区 、 出 租 屋 实 现 创新 管 
理 、 提 高 安全 保障 的 需要 ，RFID 门禁 装置 要 求 不 仅 可 以 实现 刷卡 开门 及 记录 存储 ， 还 能 在 
开门 时 进行 图 片 或 视频 的 抓拍 ， 存 储 带 抓拍 图 片 或 视频 的 开门 记录 ， 以 增强 安全 管理 。 
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图 9-3 “门禁 流程 


在 原 有 刷 RFID 卡 开门 功能 的 基础 上 ， 扩 展 实现 了 以 下 功能 。 

(1) 门禁 装置 的 红外 感应 模块 感应 到 有 人 靠近 门禁 时 ， 即 启动 抓拍 ， 抓 拍 可 以 是 一 张 
图 片 ， 也 可 以 是 一 段 视频 。 

(2) 门禁 装置 的 读 卡 模 块 ， 在 有 人 刷卡 时 ， 无 论 刷 卡 成 功 或 失败 ， 都 启动 抓拍 ， 抓 拍 
可 以 是 一 张 图 片 ， 也 可 以 是 一 段 视频 。 

(3) 门禁 装置 将 红外 感应 抓拍 的 图 片 或 视频 、 将 刷卡 时 的 刷卡 记录 及 抓拍 的 图 片 或 视 
频 通过 人 P 数据 通信 模块 ， 上 传 至 门禁 管理 平台 ， 进 行 实时 记录 。 

无 线 物 联网 门禁 系统 的 安全 与 可 靠 主 要 体现 在 以 下 两 个 方面 : 无 线 数据 通信 的 安全 性 
保证 和 传输 数据 的 稳定 性 保障 。 在 无 线 数据 通信 的 安全 性 保证 方面 ， 无 线 物 联网 门禁 系统 
通过 智能 跳 频 技术 来 确保 信号 能 迅速 避 开 干扰 ， 同 时 通信 过 程 中 采用 动态 密 钥 和 AES 加 密 
算法 ， 哪 怕 是 相同 的 一 个 指令 ,每 一 次 在 空中 传输 的 通信 包 都 不 一 样 ， 让 监听 者 无 法 截取 。 
但 是 ， 对 于 无 线 技术 来 讲 ， 数 据 包 加 密 技 术 大 家 能 理解 并 接受 ， 而 无 线 的 抗 干 扰 能 力 却 是 
始终 绕 不 开 的 话题 。 在 传输 数据 的 稳定 性 保障 方面 ， 针 对 这 一 问题 ， 无 线 物 联网 门禁 专门 
设计 了 脱 机 工作 模式 ， 这 是 一 种 确保 在 无 线 受 干扰 失效 或 者 中 心 系统 宕 机 后 也 能 正常 开门 
的 工作 模式 。 以 无 线 门 锁 为 例 ， 在 无 线 通信 失败 时 它 等 同 于 一 把 不 联网 的 宾馆 锁 ， 仍 然 可 
以 正常 开关 门 (和 联网 时 的 开门 权限 一 致 ), 用 户 感觉 不 到 脱 机 和 联机 的 区 别 ， 唯 一 的 区 别 是 
脱 机 时 刷卡 数据 不 是 即时 传 到 中 心 ， 而 是 暂 存在 锁 上 ， 在 通信 恢复 正常 后 再 自动 上 传 。 无 
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线 物 联 网 是 一 个 超 低 功 耗 产 品 ， 这 样 会 使 电池 供电 的 寿命 更 长 ， 只 有 电池 供电 ， 才 有 彻底 
无 线 的 可 能 。 

无 线 物 联网 门禁 系统 的 通信 速度 达到 了 2 Mb/s， 越 快 的 通信 速度 意味 着 信号 在 空中 传 
输 的 时 间 越 短 ， 消 耗 的 电量 也 越 少 ， 同 时 ， 无 线 物 联网 门禁 系统 采用 的 锁具 是 只 在 执行 开 
关门 动作 时 才 消 耗 电 量 的 。 无 线 物 联网 门禁 系统 可 以 直接 蔡 换 现 有 的 有 线 联 网 或 非 联 网 门 
禁 系 统 。 对 于 办 公 楼 宇 系统 ， 应 用 无 线 物 联 网 门禁 能 明显 降低 施工 工作 量 ， 降 低 使 用 成 本 ; 
对 于 宾馆 系统 ， 能 提升 门禁 的 智能 化 水 平 。 但 任何 新 生 事物 ， 市 场 上 难免 存在 一 些 质疑 声 ， 
如 何 打消 用 户 对 无 线 系统 稳定 性 、 可 靠 性 、 安 全 性 的 担忧 是 目前 市 场 推广 最 大 的 难题 。 


9.3 ” EPCglobal 网 络 安全 技术 应 用 


EPCglobal 网 络 是 实现 自动 即时 识别 和 供应 链 信息 共享 的 网 络 平台 。 通 过 EPCglobal 网 
络 ， 提 高 供应 链 上 贸易 单元 信息 的 透明 度 与 可 视 性 ， 各 机 构 组 织 将 会 更 有 效 运行 。 通 过 整 
合 现 有 信息 系统 和 技术 ，EPCglobal 网 络 将 提供 对 全 球 供应 链 上 贸易 单元 即时 、 准 确 、 自 动 
的 识别 和 跟踪 。 

EPCgloabal 起 初 由 美国 麻 省 理工 学 院 (MIT) 的 Auto-ID 中 心 提出 .2003 年 10 月 ,Auto-ID 
中 心 研究 功能 并 入 Auto-ID 实验 室 ， 总 部 设 在 MIT， 与 其 他 5 所 大 学 通力 合作 研究 和 开发 
EPCglobal 网 络 及 其 应 用 (这 5 所 大 学 分 别 是 英国 剑桥 大 学 、 澳大利亚 阿 德 莱 德 大 学 、 日 本 庆 
应 大 学 、 中 国 复旦 大 学 和 瑞士 圣 加 仑 大 学 )。 


9.3.1 EPCglobal 物 联网 的 网 络 架 构 


信息 采集 系统 由 产品 电子 标签 、 读 写 器 、 驻 留 有 信息 采集 软件 的 上 位 机 组 成 ， 主 要 完 
成 产品 的 识别 和 EPC 的 采集 与 处 理 。 


2. PML 信息 服务 器 


PML(Physical Markup Language) 信 息 服 务 器 由 产品 生产 商 建 立 并 维护 , 储存 着 该 生产 商 
生产 的 所 有 商品 的 文件 信息 。 根 据 事 先 规 定 的 原则 对 产品 进行 编码 ， 并 利用 标准 的 PML 对 
产品 的 名 称 、 生 产 厂 家 、 生 产 日 期 、 重 量 、 体 积 、 性 能 等 详细 信息 进行 描述 ， 从 而 生成 PML 
文件 。 一 个 典型 的 PML 服务 器 包括 以 下 几 部 分 。 

(1) Web 服务 器 。 它 是 PML 信息 服务 中 唯一 直接 与 客户 端 交互 的 模块 , 位 于 整个 PML 
信息 服务 的 最 前 端 , 可 以 接收 客户 端的 请 求 , 进行 解析 、 验证 , 确认 无 误 后 发 送 给 SOAP 引 
擎 ， 并 将 结果 返回 给 客户 端 。 

(2) SOAP 引擎 。 它 是 PML 信息 服务 器 上 所 有 已 部 署 服 务 的 注册 中 心 ， 可 以 对 所 有 已 
部 署 的 服务 进行 注册 ， 提 供 相 应 组 件 的 注册 信息 ， 将 来 自 Web 服务 器 的 请 求 定位 到 相应 的 
服务 器 处 理 程 序 ， 并 将 处 理 结果 返回 给 Web 服务 器 。 

(3) 服务 器 处 理 程 序 。 它 是 客户 端 请 求 服务 的 实现 程序 ， 包 括 实时 路 径 更 新 程序 、 路 
径 查询 程序 和 原始 信息 查询 程序 等 。 
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(4) 数据 存储 单元 。 它 用 于 PML 信息 服务 器 端 数据 的 存储 ， 主 要 用 于 客户 端 请 求 数据 
的 存储 ， 存 储 介质 包 括 各 种 关系 数据 库 或 者 一 些 中 间 文 件 ， 如 PML 文件 。 

3. ONS 

ONS 的 作用 是 在 各 信息 采集 节点 与 PML 信息 服务 器 之 间 建 立 联系 , 实现 从 EPC 到 PML 
信息 之 间 的 映射 。 读 写 器 识别 RFID 标签 中 的 EPC 编码 ，ONS 则 为 带 有 射频 标签 的 物理 对 
象 定位 网 络 服务 ， 这 些 网 络 服务 是 一 种 基于 Intermet 或 者 VPN 专线 的 远程 服务 ， 可 以 提供 
和 存储 指定 对 象 的 相关 信息 。 实 体 对 象 的 网 络 服务 通过 该 实体 对 象 的 EPC 代码 进行 识别 ， 
ONS 帮助 读 写 器 或 读 写 器 信息 处 理 软件 定位 这 些 服 务 。ONS 是 一 个 分 布 式 的 系统 架构 ， 体 
系 结构 如 图 9-4 所 示 ， 主 要 由 以 下 4 部 分 组 成 。 

服务 器 位 置 

















ONS 本 地 缓存 | 
URL 形 式 查询 
ONS 解 析 器 
a 二 
a | a \ 





图 9-4 ONS 的 体系 结构 


(1) 映射 信息 。 映 射 信息 以 记录 的 形式 表达 了 EPC 编码 和 PML 信息 服务 器 之 间 的 一 种 
映射 ， 它 分 布 式 地 存储 在 不 同 层次 的 ONS 服务 器 里 。 

(2) ONS 服务 器 。 如 果 某 个 请 求 要 求 查询 一 个 EPC 对 应 的 PML 信息 服务 器 的 他 地址， 
则 ONS 服务 器 可 以 对 此 做 出 响应 ,每 一 台 ONS 服务 器 拥有 一 些 EPC 的 授权 映射 信息 和 EPC 
的 缓冲 存储 映射 信息 。 

(3) ONS 解析 器 。ONS 解析 器 负责 ONS 查询 前 的 编码 和 查询 语句 格式 化 工作 ， 它 将 
需要 查询 的 EPC 转换 为 EPC 域 前 级 名 ， 再 将 EPC 域 前 缀 名 与 EPC 域 后 缀 名 结合 成 一 个 完 
整 的 EPC 域名， 最 后 由 ONS 解析 器 发 出 对 这 个 完整 的 EPC 域名 进行 ONS 查询 的 请 求 ， 获 
得 PML 信息 服务 器 的 网 络 定位 。 

(4) ONS 本 地 缓存 。ONS 本 地 缓存 可 以 将 经 常 查询 和 最 近 查 询 的 “查询 -应 答 ” 值 保 
存 其 内 , 作为 ONS 查询 的 第 一 入 口 点 , 这 样 可 以 减少 对 外 查询 的 数量 , 提高 本 地 相应 效率 ， 
减少 ONS 服务 器 的 查询 压力 。 


4. Savant 系统 


Savant 系统 在 物 联网 中 处 于 读 写 器 和 企业 应 用 程序 之 间 ， 相 当 于 物 联网 的 神经 系统 。 
Savant 系统 采用 分 布 式 结构 和 层次 化 组 织 管理 数据 流 ， 具 有 数据 搜集 、 过 滤 、 整 合 与 传递 
等 功能 ， 因 此 ， 能 将 有 用 的 信息 传送 到 企业 后 端的 应 用 系统 或 者 其 他 Savant 系统 中 。 
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9.3.2” ”EPCglobal 网 络 安全 


1. EPCglobal 网 络 的 安全 性 分 析 


关于 EPCglobal 网 络 本 身 的 安全 性 的 研究 目前 还 不 多 见 , 多 数 文献 还 是 重点 讨论 在 超 高 
频 第 二 代 RFID 标签 上 如 何 实现 双向 认证 协议 。 

EPCglobal 网 络 的 安全 研究 主要 分 为 两 大 类 。 

(1) 主要 研究 RFID 的 阅读 器 通信 安全 与 RFID 标签 的 安全 。 

(2) 主要 研究 EPCglobal 的 网 络 安全 。 

相关 文献 研究 认为 ONS 架构 存在 严重 的 安全 缺陷 。 

在 RFID 的 标签 与 阅读 器 研究 方面 ,设计 出 了 一 种 RFID 标签 和 读 写 器 之 间 的 双向 认证 
协议 ， 且 该 协议 可 以 在 EPCglobal 兼容 的 标签 上 使 用 。 该 协议 可 以 提供 前 向 安全 (Forward 
Security)。 还 提出 了 一 种 P2P 发 现 服务 的 EPC 数据 访问 方法 ， 该 方法 比 基 于 中 央 数 据 库 的 
方法 具有 更 好 的 可 扩展 性 。 

EPCglobal 的 1 类 2 代 (Class-1 Generation-2)RFID 标签 中 ， 标 签 的 标识 是 以 明文 进行 传 
输 的 ， 于 是 很 容易 被 追踪 和 克隆 。 而 对 称 和 非 对 称 密码 加 密 的 方法 ， 在 廉价 标签 中 可 能 不 
太 可 用 。 虽 然 一 些 针对 第 2 代 标 签 的 轻 量 级 的 认证 协议 已 经 提出 ， 但 这 些 协议 的 消息 流 与 
第 2 代 标 签 的 消息 流 不 同 ， 因 而 存在 的 读 写 器 可 能 不 能 读 新 的 标签 。 相 关 研 究 文献 提出 一 
种 新 的 认证 协议 ， 称 为 Gen2+， 该 协议 参照 第 2 代 标 签 的 消息 流 并 提供 了 向 后 兼容 性 。 该 
协议 使 用 了 共享 的 假名 (Pseudonym) 和 循环 元 余 校 验 (CRC) 来 获得 读 写 器 对 标签 的 认证 ， 并 
利用 读 存储 命令 来 获得 标签 对 读 写 器 的 认证 。 论证 结果 表明 ，Gen2+ 在 跟踪 和 克隆 攻击 下 更 
加 安全 。 

在 EPCglobal 的 RFID 标签 安全 研究 的 相关 文献 中 分 析 了 第 2 代 标 签 的 安全 缺陷 , 包括 
泄露 、 对 完整 性 的 破坏 、 拒 绝 服务 攻击 以 及 克隆 攻击 等 。 广 义 来 说 ， 泄 露 威胁 指 的 是 RFID 
标签 信息 保存 在 标签 中 和 在 传递 给 读 写 器 的 过 程 中 被 泄露 。 拒 绝 服务 攻击 就 是 当 标 签 被 访 
问 时 ， 被 攻击 者 的 读 写 器 阻塞 了 ， 即 当 一 个 读 写 器 需要 读 标签 信息 时 ， 被 另 一 个 攻击 者 的 
读 写 器 阻止 了 这 种 访问 。 这 种 阻塞 可 能 是 持续 的 ， 导 致 标签 信息 总 是 无 法 被 读 取 。 破 坏 完 
整 性 威胁 是 指 非 授权 地 对 标签 存储 的 信息 或 者 传递 给 读 写 器 的 信息 进行 修改 。 克 隆 攻 击 就 
是 某 个 非法 标签 的 敌对 行为 导致 欺骗 读 写 器 ， 使 读 写 器 以 为 自己 正在 与 某 个 设备 进行 正确 
的 信息 交换 。 这 种 攻击 中 ， 仿 真 程序 或 硬件 在 一 个 克隆 标签 上 运行 ， 伪 造 了 读 写 器 期 望 的 
正常 的 操作 流程 。 为 了 应 对 这 些 威胁 ， 可 采用 的 方法 包括 使 用 会 话 来 避免 泄露 ， 引 入 高 密 
度 (Dense) 读 写 器 条 件 来 避免 拒绝 服务 攻击 ， 组 合 安全 协议 和 空中 接口 、Ghost Read 以 及 
Cover coding 方法 来 克服 破坏 完整 性 攻击 。 但 对 于 克隆 攻击 ， 还 没有 好 的 防御 方法 。 

针对 供应 链 中 可 以 检索 的 研究 分 析 , 相关 文献 给 出 了 一 种 基于 RFID 的 供应 链 中 可 以 检 
索 和 分 析 分 布 式 的 EPC 事件 数据 的 方法 ， 组 合 这 些 数 据 可 能 导致 商业 机 密 的 泄露 。 相 关 研 
究 文 献 还 给 出 了 一 个 基于 证 书 (License) 的 访问 控制 原型 系统 ,来 保护 商业 方 的 隐私 。 该 方法 
依照 欧盟 提出 的 隐私 保护 设计 (Privacy-by-Design) 原 则 ， 可 以 减少 暴露 的 数据 。 


2. EPCglobal 网 络 中 的 数据 清 ; 
由 于 读 写 器 异常 或 者 标签 之 间 的 相互 干扰 ， 有 时 采集 到 的 EPC 数据 可 能 是 不 完整 的 或 
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错误 的 ， 甚 至 出 现 多 读 和 漏 读 的 情况 。 漏 读 (False Negative) 是 指 : 当 一 个 标签 在 一 个 阅读 器 
阅读 范围 之 内 时 ， 该 阅读 器 没有 读 到 该 标签 。 多 读 (False Positive) 是 指 : 当 一 个 标签 不 在 一 
个 阅读 器 阅读 范围 之 内 时 ， 该 阅读 器 仍然 读 到 该 标签 。 如 果 将 源 数据 直接 投入 实际 应 用 中 
得 到 的 结果 一 般 没 有 应 用 价值 , 所 以 在 对 RFID 源 数 据 进行 处 理 之 前 , 需要 对 数据 进行 清洗 。 
一 般 Savant 要 对 读 写 器 读 取 到 的 EPC 数据 进行 处 理 ， 消 除 元 余数 据 ,， 过 滤 掉 “无 用 ”信息 ， 
以 传送 给 应 用 程序 或 上 级 Savant“ 有 用 ”信息 。 

抑 余数 据 的 产生 主要 有 以 下 两 个 因素 。 

(1) 在 短期 内 同一 台 读 写 器 对 同一 个 数据 进行 重复 上 报 。 如 在 仓储 管理 中 ， 对 固定 不 
动 的 货物 重复 上 报 ; 在 进货 、 出 货 过 程 中 ， 重 复 检测 到 相同 物品 。 

(2) 多 台 临 近 的 读 写 器 对 相同 数据 都 进行 上 报 。 读 写 器 存在 一 定 的 漏 检 率 ， 这 和 读 写 
器 天 线 的 摆 放 位 置 、 物 品 离 读 写 器 远近 、 物 品 的 质地 都 有 关系 。 通 常 为 了 保证 读 取 率 ， 可 
能 会 在 同一 个 地 方 相 邻 地 摆 放 多 台 读 写 器 ， 这 样 ， 多 台 读 写 器 将 监测 到 的 物品 上 报时 ， 就 
可 能 会 出 现 重复 。 

另外 ， 很 多 情况 下 用 户 可 能 还 希望 得 到 某 些 特定 货物 的 信息 、 新 出 现 的 货物 信息 、 消 
失 的 货物 信息 或 只 是 某 些 地 方 的 读 写 器 读 到 的 货物 信息 。 用 户 在 使 用 数据 时 ， 和 希望 最 小 化 
宛 余 ， 尽 量 得 到 靠近 需求 的 准确 数据 。 宛 余 信息 的 解决 办 法 是 设置 各 种 过 滤器 进行 处 理 。 
可 用 的 过 滤器 有 很 多 ， 典 型 的 过 滤器 有 4 种 : 产品 过 滤器 、 时 间 过 滤器 、EPC 过 滤器 和 平 
滑 过 滤器 。 产 品 过 滤器 只 发 送 与 某 一 产品 或 制造 商 相 关 的 产品 信息 ， 也 就 是 说 ， 过 滤器 只 
发 送 某 一 范围 或 方式 的 EPC 数据 ;时 间 过 滤器 可 以 根据 时 间 记 录 来 过 滤 事件 ， 如 一 个 时 间 
过 滤 可 能 只 发 送 最 近 10 分 钟 内 的 事件 ; EPC 过 滤器 可 过 滤 符 合 某 个 规则 的 EPC 数据 ; 平滑 
过 滤器 可 处 理 出 错 的 情况 ， 包 括 漏 读 和 错 读 。 

对 于 “ 漏 读 ” 的 情况 ， 需 要 通过 标识 之 间 的 关联 度 (如 同时 被 读 到 ) 来 找 回 漏 掉 的 标识 。 
相关 文献 中 提出 基于 对 监控 对 象 动态 聚 簇 概念 的 RFID 数据 清洗 策略 , 通过 有 效 的 聚 簇 建 模 
和 高 效 的 关联 度 维护 来 估算 真实 的 小 组 。 所 谓 “ 小 组 ”， 就 是 常常 会 同时 读 取 的 具有 某 种 关 
联 度 的 标签 。 在 估算 真实 的 小 组 基础 上 ， 可 进行 有 效 的 清洗 。 由 于 引入 了 新 的 维度 ， 在 有 
小 组 参与 的 情况 下 ， 无 论 数据 量 的 大 小 和 组 变化 的 程度 ， 与 考虑 时 间 维 的 相关 工作 相 比 ， 
该 模型 可 以 有 效 地 利用 组 间 成 员 的 关系 来 提高 清洗 的 准确 性 。 
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物 联 网 是 建立 在 互联 网 基础 上 的 泛 在 网 络 发 展 的 一 个 新 阶段 ， 它 可 以 通过 各 种 有 线 和 
无 线 网 络 与 互联 网 融合 ， 综 合 应 用 海量 的 传感器 、 智 能 处 理 终端 、 全 球 定位 系统 等 ， 实 现 
物 与 物 、 物 与 人 的 随时 随地 连接 ， 实 现 智能 管理 和 控制 。 本 章 主要 介绍 了 物 联网 系统 设计 
的 实际 应 用 ， 帮 助 读者 更 好 地 学 习 物 联网 知识 。 
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会 智能 家 居 信 息 安全 系统 


学 习 导 读 

智能 家 居 是 以 住宅 作为 平台 ， 将 多 种 节点 设备 和 家 用 电器 通过 传 
感 器 网 络 相 连 ， 从 而 形成 完备 的 自动 化 、 智 能 化 的 安全 、 便 捷 、 人 性 
化 的 生活 环境 ， 改 善人 们 的 生活 水 平 ， 高 效 地 利用 整个 网 络 中 的 设备 
资源 , 提高 人 们 住宅 生活 的 安全 性 , 节省 生活 中 产生 的 不 必要 的 费用 。 
本 章 将 综述 智能 家 居中 的 安全 目标 和 挑战 ， 概 述 智能 家 居中 的 安全 技 
术 ， 深 入 研究 智能 家 居 信 息 安 全 的 关键 技术 ， 结 合 这 些 关键 技术 设计 
出 一 套 保障 智能 家 居 数 据 与 接 入 安全 的 系统 。 

智能 家 居 信 息 安 全 管理 系统 的 主要 思想 是 数据 安全 技术 与 接 入 
安全 技术 相 结 合 ， 从 而 保证 整个 智能 家 居 网 络 的 信息 安全 。 作 者 通过 
分 析 多 种 密码 技术 的 优 缺点 ， 结 合 智能 家 居 特 有 的 安全 性 和 时 效 性 需 
求 , 选择 AES 对 称 密码 算法 作为 系统 的 密码 算法 ， 有效 地 提高 系统 整 
体 的 安全 性 ， 提 高 了 在 数据 加 密 及 接 入 认证 中 的 效率 。 通 过 分 析 多 种 
访问 控制 技术 ， 最 终 选择 了 基于 角色 的 访问 控制 技术 ， 根 据 角色 与 权 
限 之 间 的 变化 比 角色 与 用 户 关系 之 间 的 变化 相对 要 慢 得 多 的 特点 ， 减 
小 了 权限 管理 的 复杂 性 ， 提 高 了 权限 管理 的 效率 。 

智能 家 居 信 息 安 全 管理 系统 的 创新 点 是 将 用 户 、 节 点 设备 与 数据 
紧密 结合 在 一 起 ， 用 户 通 过 智能 家 居 信 息 安全 管理 系统 可 以 更 清楚 、 
更 直观 地 查看 智能 家 居 网 络 中 各 个 节点 设备 状态 和 数据 ， 节 点 设备 可 
以 更 安全 地 接 入 智能 家 居 网 络 中 ， 节 点 设备 采集 到 的 数据 可 以 更 安全 
地 保存 到 数据 库 中 。 
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10.1 智能 家 居 信 息 安 全 需求 分 析 





智能 家 居 的 信息 安全 是 智能 家 居 安 全 的 重要 组 成 部 分 ， 如 何 利用 当前 的 先进 技术 保证 
智能 家 居 安 全 便捷 地 使 用 已 成 为 现 阶段 研究 的 重要 课题 。 本 节 将 围绕 智能 家 居 信 息 安全 体 
系 结构 ， 分 析 体系 结构 中 感知 层 、 网 络 层 、 应 用 层 的 各 个 层次 的 安全 需求 ， 结 合 智 能 家 居 
中 网 络 规模 小 、 设 备 相 对 落后 、 对 处 理 的 速率 要 求 高 等 自身 特点 ， 选 择 适 合 智 能 家 居 使 用 
的 加 密 技 术 、 身 份 认 证 技术 及 访问 控制 技术 等 信息 安全 关键 技术 。 


10.1.1 智能 家 居 信 息 安 全 体系 结构 


智能 家 居 是 物 联网 的 延伸 ， 它 的 价值 在 于 让 所 有 家 居 产 品 拥有 了 “智慧 ”， 从 而 实现 
了 人 与 物 、 物 与 物 之 间 的 信息 交互 。 信 息 安全 方面 的 诸多 问题 尤其 明显 。 

物 联 网 中 存在 的 安全 问题 ， 智 能 家 居中 也 会 存在 ， 如 数据 安全 问题 、 接 入 安全 问题 与 
网 络 安全 问题 。 目 前 ， 智 能 家 居 信 息 安全 的 体系 结构 同样 分 为 3 个 层次 : 感知 层 、 网 络 层 
和 应 用 层 ， 如 图 10-1 所 示 。 






























































































































































































































































应 用 层 安全 | 
传统 安全 应 用 数据 处 理 安全 云 安全 
余 | [到 加 
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10.1.2 感知 层 安全 需求 


感知 层 在 智能 家 居 网 络 中 的 作用 是 感知 并 采集 外 界 信息 ， 用 于 感知 的 设备 包括 传感器 
设备 、 全 球 定位 系统 、 图 像 采集 设备 及 RFID 设备 等 ， 这 些 设备 根据 用 户 的 需求 收集 指定 的 
数据 信息 ， 如 摄像 头 用 于 住宅 的 安防 监控 ; 使 用 RFID 设备 可 以 轻松 控制 门窗 的 开关 ; 使 用 
通信 网 络 可 以 远程 控制 家 中 的 电器 等 。 但 是 ， 各 种 方便 的 感知 系统 给 和 人们 生活 带 来 便利 的 
同时 ， 也 存在 各 种 安全 和 隐私 问题 。 例 如 ， 通 过 摄像 头 的 视频 对 话 或 监控 ， 在 给 入 们 生活 
提供 方便 的 同时 ， 也 会 被 具有 恶意 企图 的 人 控制 利用 ， 从 而 监控 个 人 的 生活 ， 泄 露 个 人 的 
隐私 。 特 别 是 近年 来 ， 黑 客 利用 个 人 计算 机 连接 的 摄像 头 泄露 用 户 的 隐私 事件 层出不穷 。 

智能 家 居 的 感知 层 在 当前 的 安全 挑战 主要 有 以 下 6 点 。 

(1) 感知 层 的 网 络 节点 被 恶意 控制 (安全 性 全 部 丢失 )。 

(2) 感知 节点 所 感知 的 信息 泄露 。 

(3) 感知 层 的 普通 节点 被 恶意 控制 (攻击 者 得 到 密 钥 )。 

(4) 感知 层 的 普通 节点 被 非法 入 侵 (无 密 钥 ， 无 法 被 控制 )。 

(5) 感知 层 的 节点 受到 DoS 的 攻击 。 

(6) 接 入 物 联 网 中 的 海量 感知 节点 的 标识 、 识 别 、 认 证 和 控制 问题 。 

在 感知 层 感知 信息 的 过 程 中 ， 对 信息 的 保护 至 关 重要 ， 这 取决 于 感知 设备 的 能 力 。 如 
果 不 采 取 对 感知 信息 的 安全 保护 ， 这 些 信 息 很 容易 就 被 攻击 者 得 到 ， 造 成 巨大 的 安全 隐患 。 
由 于 节点 的 密 钥 很 难 被 得 到 ， 所 以 攻击 者 一 般 是 入 侵 节 点 但 无 法 控制 该 节点 ， 他 只 能 阻止 
信息 的 发 送 ， 这 很 容易 被 系统 察觉 。 如 果 攻 击 者 通过 某 种 途径 得 到 了 节点 的 共享 密 钥 ， 就 
可 以 通过 密 钥 控制 该 节点 并 截取 该 节点 发 出 的 信息 。 所 以 入 侵 感 知 层 的 常用 手段 是 攻击 感 
知 层 下 的 普通 节点 ， 通 过 控制 这 些 节 点 轻松 获取 这 些 节 点 中 的 信息 ， 并 可 能 利用 这 些 节 点 
向 系统 发 出 错误 数据 。 有 些 攻击 者 攻击 感知 层 的 节点 ， 不 是 为 了 捕获 节点 信息 或 者 获取 节 
点 密 钥 控制 节点 ， 而 是 为 了 分 析 、 确 定 节点 的 类 型 ， 通 过 确定 节点 的 用 途 方便 进行 下 一 步 
的 攻击 。 

根据 当前 的 安全 挑战 ， 结 合 以 上 对 感知 层 的 安全 分 析 ， 感 知 层 的 安全 需求 可 归纳 为 以 
下 几 点 。 

(1) 机 密 性 : 加强 普通 节点 的 认证 和 密 钥 管理 ， 减 少 共享 密 钥 的 使 用 。 

(2) 密 钥 协 商 : 在 数据 通信 之 间 进 行 密 钥 的 协商 ， 可 加 强 数据 在 传输 中 的 保护 。 

(3) 节点 认证 : 节点 接 入 感知 层 系统 时 ， 需 进行 身份 认证 ， 以 防 非法 节点 的 接 入 。 

(4) 信誉 评估 : 建立 节点 评估 机 制 ， 通 过 该 机 制 可 以 判断 出 节点 是 否 被 入 侵 ， 降 低 入 
侵 后 对 感知 层 造成 的 危害 。 

(5) 安全 路 由 : 使 用 更 为 强大 的 安全 路 由 技术 ， 保 障 感知 层 与 节点 、 节 点 与 节点 之 间 
的 通信 安全 。 


10.1.3 网络 层 安全 需求 


网 络 层 是 感知 层 与 应 用 层 之 间 的 桥梁 ， 它 将 感知 层 感知 到 的 信息 根据 应 用 层 的 需求 传 
输 到 需要 的 位 置 。 网 络 层 的 基础 是 各 种 通信 网 络 ， 不 同类 型 网 络 之 间 的 通信 安全 认证 至 关 
重要 。 通 信 网 络 带 来 的 大 量 节 点 会 造成 很 多 的 安全 问题 ， 如 大 量 设 备 短 时 间接 入 网 络 就 会 
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造成 网 络 堵塞 ,此 时 攻击 者 就 会 对 服务 器 进行 DoS 攻击 等 攻击 手段 ; 由 于 大 量 设备 的 接 入 ， 
设备 是 否 能 够 安全 认证 、 防 止 非法 接 入 ， 这 给 网 络 层 带 来 新 的 安全 隐患 ， 运用 中 间 人 攻击 
手段 阻止 设备 与 网 络 的 联系 ， 再 设法 向 网 络 发 送 假冒 的 请 求 ， 使 得 网 络 做 出 错误 判断 。 总 
而 言 之 , 网 络 层 的 安全 挑战 主要 有 网 络 设备 的 非法 接 入 , 各 种 攻击 手段 如 中 间 人 攻击 与 DoS 
攻击 ， 以 及 对 传输 信息 的 拦截 与 自 改 。 在 网 络 层 ， 异 构 网 络 的 信息 交换 将 成 为 安全 性 的 脆 
弱点 ， 特 别 是 在 网 络 认 证 方面 ， 难 免 存在 中 间 人 攻击 和 其 他 类 型 的 攻击 ， 如 异步 攻击 、 合 
谋 攻击 等 ， 这 些 攻击 都 需要 有 更 好 的 安全 保护 措施 。 信 息 在 网 络 中 传输 时 ， 很 可 能 被 攻击 
者 非法 获取 到 相关 信息 ， 甚 至 算 改 信息 ， 所 以 必须 采取 保密 措施 进行 加 密 保护 。 

网 络 层 的 安全 需求 可 以 归纳 如 下 。 

(1) 数据 机 密 性 : 保证 数据 传输 过 程 中 不 会 被 他 人 窃取 。 

(2) 数据 完整 性 ， 保证 数据 传输 过 程 中 不 会 被 他 人 自 改 。 

(3) 数据 流 机 密 性 :保证 数据 传输 过 程 中 数据 流量 信息 不 被 他 人 窃取 。 

(4) 恶意 攻击 的 检测 : DoS 攻击 是 常见 的 攻击 手段 , 网络 层 需要 快速 检测 出 DoS 攻击 ， 
防止 DoS 攻击 对 网 络 造成 进一步 破坏 。 


10.1.4 应 用 层 安 全 需求 


应 用 层 设计 的 主要 目的 是 满足 智能 家 居 系 统 的 具体 业务 开展 的 需求 ， 它 所 涉及 的 信息 
安全 问题 直接 面向 用 户 群 体 ， 与 其 他 层次 有 着 明显 的 区 别 。 考 虑 到 智能 家 居 涉 及 众多 用 户 
与 设备 ， 应 用 层 中 对 大 量 数 据 的 处 理 和 控制 面临 着 很 多 安全 问题 ， 比 如 数据 的 隐私 性 、 完 
整 性 及 业务 控制 等 问题 有 待 解决 。 此 外 ， 应 用 层 的 信息 安全 还 涉及 信任 安全 、 位 置 安全 、 
云 安全 等 。 

所 以 应 用 层 的 安全 挑战 主要 有 以 下 几 点 。 

(1) 大 量 节点 设备 的 身份 认证 问题 。 

(2) 大 量 节点 数据 存储 的 安全 问题 。 

(3) 大 量 用 户 数 据 的 隐私 保护 问题 。 

(4) 系统 的 可 控 性 。 

(5) 系统 对 恶意 攻击 的 防御 性 。 

智能 家 居 网 络 中 不 仅 包括 大 量 的 用 户 数 据 ， 更 多 的 是 海量 的 节点 设备 产生 的 数据 。 为 
了 确保 海量 数据 的 隐私 和 安全 ， 加 密 手 段 是 行 之 有 效 的 方法 之 一 ， 但 如 何 处 理 如 此 多 的 加 
密 数 据 也 是 现 阶 段 应 用 层 存在 的 挑战 之 一 。 应 用 层 的 安全 需求 归纳 如 下 。 

(1) 大 量 节点 设备 快速 有 效 地 进行 认证 并 接 入 。 

(2) 数据 的 安全 保存 及 访问 控制 。 

(3) 用 户 的 隐私 保护 。 


10.2 ”智能 家 居 信 息 安全 关键 技术 
智能 家 居 信 息 安全 体系 结构 各 层次 的 安全 需求 各 不 相同 ， 但 各 层 的 安全 需求 的 着 重点 


是 相同 的 ， 即 数据 安全 及 接 入 安全 。 数 据 安全 是 指数 据 在 采集 、 传 输 以 及 存储 过 程 中 的 机 
密 性 与 完整 性 。 感 知 层 中 针对 的 是 节点 的 安全 性 ; 网 络 层 中 针对 的 是 传输 过 程 中 的 安全 性 ， 
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应 用 层 中 针对 的 是 数据 处 理 过 程 中 的 安全 性 。 接 入 安全 是 指 设备 接 入 智能 家 居 网 络 时 认证 
过 程 中 产生 的 安全 问题 ， 以 及 用 户 接 入 智能 家 居 网 络 后 对 网 络 资源 的 使 用 安全 问题 。 身 份 
认证 问题 主要 出 现在 感知 层 和 应 用 层 ， 数 据 的 访问 控制 问题 主要 出 现在 应 用 层 。 因 此 ， 将 
从 数据 安全 、 认 证 安全 以 及 访问 控制 安全 3 个 方面 的 安全 需求 选择 所 适合 的 关键 技术 ， 并 
应 用 在 之 后 的 解决 方案 中 。 

在 选择 适合 的 关键 技术 之 前 ， 我 们 先 分 析 智 能 家 居 信 息 安全 的 特点 。 首 先 ， 智 能 家 居 
以 住宅 为 基础 ， 网 络 规模 与 物 联网 相 比 较 小 ， 而 且 网 络 中 节点 设备 多 为 家 用 电器 与 网 络 设 
备 ， 数 量 有 限 ， 适 合 选择 相对 简单 的 技术 进行 处 理 。 其 次 ， 智 能 家 居 网 络 中 的 服务 器 配置 
相对 落后 ， 要 求 所 选择 技术 的 系统 开销 较 小 ， 最 后 ， 智 能 家 居 信息 安全 的 时 效 性 对 处 理 的 
速度 及 效率 要 求 较 高 。 

数据 安全 应 从 数据 的 安全 性 和 完整 性 考虑 ， 密 码 学 作为 信息 安全 的 重要 技术 之 一 ， 对 
数据 安全 起 着 非常 重要 的 作用 。 密 码 学 中 ， 对 称 密码 算法 相对 于 非 对 称 密码 算法 的 优势 在 
于 高 效 的 加 解密 效率 ， 算 法 简单 且 计 算 开 销 较 小 。 现 在 常用 的 对 称 加 密 算法 有 AES、DES 
及 3DES。 

e@ DES 作为 较 早 开发 的 密码 算法 ， 有 着 较为 明显 的 缺陷 ， 加 密 单 位 较 短 ， 导 致 计算 

开销 较 大 ， 密 钥 位 数 太 短 ， 降 低 了 密码 体制 的 安全 性 ， 很 难 适应 现在 对 于 密码 算 
法 的 需求 ， 不 能 对 抗 差 分 和 线性 密码 分 析 ， 且 密码 算法 不 透明 公开 ， 安 全 性 大 打 
折扣 。 

e@ ”3DES 作为 DES 密码 算法 的 一 种 改进 模式 ， 增 加 了 密 钥 长 度 ， 安 全 性 有 所 增强 ， 

但 缺点 依旧 明显 。 

e@  AES 作为 DES 的 奉 代 品 ， 较 好 地 弥补 DES 的 缺点 : 计算 速度 快 ， 表 现 出 良好 的 
性 能 ， 对 内 存 需 求 低 ， 适 合 受 硬件 限制 的 应 用 环境 ， 分 组 长 度 和 密 钥 长 度 设计 灵 
活 ， 有 着 较 强 的 安全 性 。 故 密码 学 技术 中 选择 AES 对 称 加 密 算法 作为 智能 家 居 信 
息 安全 的 关键 技术 之 一 。 

接 入 安全 分 为 身份 认证 安全 与 访问 控制 安全 两 个 方面 。 

(1) 智能 家 居 信息 安全 中 的 身份 认证 主要 针对 接 入 设备 的 身份 认证 ， 常 用 的 设备 身份 
认证 主要 通过 设备 的 标识 信息 进行 认证 , 常用 的 有 802.1x 接 入 认证 技术 、Portal 接 入 认证 技 
术 和 MAC 地 址 认证 技术 。MAC 地 址 认证 技术 与 其 他 两 种 技术 的 区 别 在 于 ， 用 户 不 需要 安 
装 任何 客户 端 软件 就 可 以 对 设备 进行 认证 , 且 MAC 地 址 的 唯一 性 也 为 接 入 安全 提供 了 重要 
保障 。 结 合 智能 家 居 信 息 安 全 需求 的 简单 化 和 高 效 性 ， 这 里 选择 MAC 地 址 认证 技术 作为 身 
份 认证 的 关键 技术 。 

(2) 访问 控制 技术 作为 对 接 入 安全 技术 的 重要 组 成 部 分 ， 承 担 着 对 智能 家 居 网 络 中 资 
源 及 设备 的 权限 配置 。 自 主 访问 控制 与 强制 访问 控制 都 是 用 户 与 权限 的 直接 逻辑 关系 ， 而 
基于 角色 的 访问 控制 技术 是 在 用 户 与 权限 中 加 入 角色 ， 使 得 用 户 与 权限 实现 逻辑 分 离 ， 极 
大 地 方便 了 权限 管理 ， 减 少 了 整个 系统 复杂 程度 ， 符 合 智能 家 居 信 息 安全 需求 的 简单 化 和 
高 效 性 需求 。 


10.2.1 加 密 技术 
AES 对 称 密码 算法 是 非 Feistel 密码 结构 的 对 称 分 组 密码 算法 ， 采 用 的 是 代替 置换 网 络 
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的 密码 方式 ， 每 轮 分 为 3 层 : 线性 混合 层 实现 的 功能 是 将 多 轮 之 上 的 高 度 扩散 ;， 非 线性 层 
由 16 个 S 盒 并 置 而 成 ， 并 且 起 到 混淆 的 作用 ， 密 码 是 不 固定 的 ， 为 满足 AES 的 要 求 ， 将 
处 理 的 分 组 大 小 限定 为 128 位 ， 密 钥 长 度 一 般 是 128、192 或 256 位 ， 相 对 应 的 迭代 轮 数 为 
10、12、14 轮 。AES 算法 对 内 存 的 需求 非常 低 ， 因 此 适用 于 资源 受 限 的 环境 中 。AES 对 称 
密码 算法 的 操作 简单 ， 并 可 抵御 强大 和 实时 的 攻击 。 

AES 对 称 密码 算法 每 一 轮 都 使 用 代替 和 混淆 处 理 整 个 数据 分 组 ， 由 4 个 不 同 的 阶段 
组 成 。 

(1) 字 节 代替 (SubBytes): 用 一 个 S 盒 完成 分 组 中 的 按 字 节 的 代替 。 

(2) 行 移 位 (ShiftRows): 简单 的 置换 。 

(3) 列 混淆 (MixColumns): 利用 在 域 GFC35 上 的 算术 特性 所 包含 的 代替 性 。 

(4) 轮 密 钥 加 法 (AddRoundKey): 利用 部 分 分 组 和 扩展 密 钥 进行 按 位 异 或 的 操作 。 

AES 对 称 密码 算法 中 一 共 使 用 到 5 个 数据 单位 : 位 、 字 、 字 节 、 分 组 和 态 。 位 代表 的 
是 二 级 制 ， 即 1 和 0; 字 是 一 个 基本 处 理 单元 ， 由 4 个 字 节 组 成 ， 字 节 就 是 8 位 二 进 制 数 ; 
分 组 是 128 位 ， 表 示 成 一 个 由 16 个 字 节 组 成 的 行 矩 阵 ; 态 也 是 由 16 个 字 节 组 成 ， 但 被 表 
示 成 4x4 字 节 的 一 个 矩阵 ， 故 态 的 行列 都 是 一 个 字 。 

AES 对 称 密码 算法 的 计算 过 程 如 图 10-2 所 示 。 
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(1) 给 定 一 个 明文 XxX， 将 State 初始 化 为 X， 并 进行 轮 密 钥 加 法 AddRoundKey 操作 ， 
将 轮 密 钥 RoundKey 与 状态 State 异 或 。 

(2) 将 前 N 角 标 六 1 轮 中 的 每 一 轮 ,利用 S 盒 进行 字 节 代 蔡 SubBytes 操作 ; 对 状态 State 
进行 列 混淆 MixColumns 操作 。 然 后 进行 轮 密 钥 加 法 AddRoundKey 操作 。 

(3) 第 N 角 标 工 轮 依 次 进行 字 节 代替 SubBytes、 行 移 位 ShiftRows、 轮 密 钥 加 法 
AddRoundKey 操作 。 

(4) 将 最 后 的 状态 State 中 的 内 容 定义 为 密 文 Y。 

在 第 一 轮 之 前 要 进行 一 个 轮 密 钥 加 法 AddRoundKey 操作 ,中 间 各 轮 依次 进行 字 节 代替 
SubBytes、 行 移 位 ShiftfRows、 列 混淆 MixColumns、 轮 密 钥 加 法 AddRoundKey 操作 ， 最 后 
一 轮 中 没有 列 混淆 MixColumns 操作 。 字 节 运 算 和 字符 运算 是 AES 对 称 密码 算法 中 的 两 种 
基本 运算 。 


10.2.2 ”身份 认证 技术 


MAC 地 址 认证 是 通过 对 物理 地 址 的 认证 ， 对 网 络 访问 权限 进行 管理 的 方法 ，MAC 地 
址 认证 技术 的 特点 是 不 用 安装 任何 客户 端 软件 就 可 以 实施 认证 。 设备 在 启动 了 MAC 地 址 认 
证 的 端口 上 首次 检测 到 设备 的 MAC 地 址 或 者 收 到 了 设备 的 接 入 请 求 后 , 就 会 启动 对 该 设备 
的 认证 流程 。 在 整个 认证 流程 中 ,用 户 并 不 需要 其 他 操作 ， 而 只 需要 将 合法 的 MAC 地 址 预 
先 录入 数据 库 ， 以 供 设 备 接 入 时 进行 认证 。 若 该 用 户 认证 成 功 ， 则 允许 该 设备 通过 端口 访 
问 该 网 络 中 的 数据 资源 ， 否 则 该 用 户 的 MAC 地 址 就 被 认定 为 静默 MAC。 在 静默 时 间 内 ( 通 
过 静默 定时 器 配置 )， 如 果 再 次 接收 到 设备 的 接 入 请 求 ， 系 统 直 接 删 除 该 认证 请 求 ， 以 防止 
非法 MAC 短 时 间 内 进行 重复 认证 ， 造 成 网 络 堵塞 。 

在 介绍 认证 方式 之 前 ， 首 先 需要 定义 用 于 身份 认证 的 用 户 名 的 格式 和 内 容 。 根 据 设备 
处 理 方式 的 不 同 ， 可 以 将 MAC 地 址 认证 使 用 的 用 户 名 格式 分 为 两 种 类 型 。 

(1) MAC 地 址 用 户 名 格式 。 将 设备 的 MAC 地 址 作为 认证 的 依据 ， 相 当 于 用 户 的 用 户 
名 与 密码 。 

(2) 固定 用 户 名 格式 。 使 用 固定 的 用 户 名 和 密码 替代 用 户 的 MAC 地 址 作为 身份 信息 进 
行 认证 。 由 于 同一 个 端口 下 可 以 有 多 个 用 户 进行 认证 , 因此 这 种 情况 下 , 端口 上 的 所 有 MAC 
地 址 认证 用 户 均 使 用 同一 个 固定 用 户 名 进行 认证 ， 服 务 器 端 仅 需要 配置 一 个 用 户 账户 ， 即 
可 满足 所 有 认证 用 户 的 认证 需求 ， 适 用 于 接 入 客户 端 比较 可 信 的 网 络 环境 。 

两 种 验证 用 户 身份 的 用 户 名 格式 确定 后 , 下 面 再 来 看 看 目前 设备 支持 的 两 种 MAC 地 址 
认证 方式 。 

(1) RADIUS 服务 器 认证 方式 。 当 选用 RADIUS 服务 器 认证 方式 后 ， 将 设备 当 作 
RADIUS 的 客户 端 ， 此 时 客户 端 与 服务 器 通信 ， 完 成 MAC 地 址 认证 。 下 面 就 两 种 验证 用 户 
身份 的 用 户 名 格式 简要 说 明 一 下 该 认证 方式 : 首先 ， 若 采用 MAC 地 址 用 户 名 格式 ， 系 统 会 
将 采集 到 的 MAC 地 址 发 送 给 RADIUS 服务 器 进行 MAC 地 址 认证 ; 若 采 用 固定 用 户 名 格式 ， 
系统 将 设备 指定 的 用 户 名 与 密码 发 送 给 RADIUS 服务 器 进行 MAC 地 址 认证 。 两 种 用 户 名 
格式 的 RADIUS 服务 器 认证 方式 都 可 以 实现 ， 使 通过 认证 的 设备 接 入 网 络 。 

(2) 本 地 认证 方式 。 本 地 认证 方式 是 指 需要 事先 在 系统 中 配置 好 用 户 名 与 密码 ， 在 本 
地 完成 MAC 认证 。 若 采用 MAC 地 址 用 户 名 格式 ， 需 要 在 系统 中 配置 MAC 地 址 作为 本 地 
认证 的 赁 证; 若 采 用 固定 用 户 名 格式 ， 需 配置 本 地 用 户 名 ， 设 备 进行 MAC 地 址 认证 时 ， 用 
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户 名 需 与 本 地 配置 的 用 户 名 相 匹 配 。 最 后 和 RADIUS 服务 器 认证 方式 一 样 ， 用 户 名 和 密码 
匹配 成 功 后 ， 用 户 便 可 以 访问 网 络 资源 。 


10.2.3 ”访问 控制 技术 


基于 角色 的 访问 控制 (Role-Based Access Control，RBAC) 是 美国 NIST 提出 的 一 种 新 的 
访问 控制 技术 。 该 技术 的 基本 思想 是 将 用 户 划 分 成 与 其 在 组 织 结构 体系 相 一 致 的 角色 ， 角 
色 直 接 拥 有 权限 而 不 是 主体 ， 主 体 则 通过 角色 的 分 配 来 实现 对 客体 权限 的 授权 。 在 系统 中 ， 
角色 具有 直观 性 与 稳定 性 , 减少 了 权限 管理 的 复杂 程度 , 从 而 降低 了 权限 管理 带 来 的 工作 量 。 

基于 角色 的 访问 控制 包括 用 户 (User)、 角 色 (Role)、 许 可 (Permission) 等 要 素 。 用 户 是 访 
问 系统 资源 的 主体 。 角 色 是 一 种 “职位 ”， 用 户 只 有 坐 在 这 个 位 置 上 ， 才 能 实现 对 客体 的 访 
问 。 许 可 就 是 对 允许 对 客体 权限 的 操作 。 用 户 可 以 “担当 ”多 种 角色 ， 一 个 角色 也 可 以 让 多 
个 用 户 同时 “担当 ”， 每 种 角色 拥有 很 多 种 许可 ， 每 个 许可 也 可 以 授权 给 许多 不 同 的 角色 。 

上 述 要 素 的 实现 形式 包括 如 下 要 素 。 

(1) 用 户 表 (Users): 包括 用 户 姓名 、 用 户 标识 、 用 户 名 和 密码 等 。 用 户 表 用 来 统计 用 
户 信息 ， 可 根据 需要 添加 与 修改 用 户 信息 。 

(2) 角色 表 (Roles): 包括 角色 名 称 、 角 色 标 识 等 。 角 色 表 用 来 保存 角色 信息 ， 授 权 系 
统管 理 员 来 定义 角色 。 

(3) 客体 表 (Objects): 包括 对 象 名 称 、 对 象 标识 等 。 客 体 表 用 来 统计 客体 信息 。 

(4) 操作 算 子 表 (Operations): 包括 操作 算 子 名 称 。 操 作 算 子 表 包含 系统 中 所 有 的 操作 
算 子 。 

(5) 许可 表 (Permissions): 包括 许可 名 称 、 许 可 标识 等 。 许 可 表 包 含 客体 与 操作 算 子 的 
逻辑 关系 。 

基于 角色 的 访问 控制 系统 由 数据 库 、 认 证 模块 、 系 统管 理 模块 、 会 话 管理 模块 组 成 。 

RBAC 数据 库 与 各 模块 的 对 应 关系 如 图 10-3 所 示 。 
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(1) 身份 认证 模块 通过 调用 用 户 表 中 储存 的 用 户 标识 、 用 户 姓名 等 用 户 信息 来 确认 用 
户 身份 。 

(2) 系统 管理 模块 的 功能 是 管理 各 表 的 内 容 ， 通 过 对 各 表 的 增 减 来 实现 对 数据 库 的 
维护 。 

(3) 会 话 管理 模块 的 功能 是 建立 用 户 表 与 角色 表 的 联系 ， 及 时 创建 和 取消 用 户 与 角色 
之 间 的 会 话 。 

基于 角色 的 访问 控制 系统 的 运行 步骤 如 下 。 

(1) 用 户 通 过 身份 认证 模块 确认 用 户 身 份 。 

(2) 会 话 管理 模块 检索 出 用 户 的 授权 角色 并 发 送 给 用 户 。 

(3) 用 户 在 会 话 管理 模块 维持 动态 角色 互 斥 的 环境 下 选择 出 活跃 角色 集 。 

(4) 会 话 创建 成 功 ， 用 户 可 以 访问 已 授权 的 客体 信息 。 


10.3 智能 家 居 信 息 安 全 管理 系统 设计 


针对 智能 家 居 信 息 安全 体系 结构 中 各 层 的 安全 需求 进行 分 析 总 结 ， 可 确认 智能 家 居 信 
息 安全 中 的 3 个 突出 问题 : 如 何 安全 有 效 地 保证 住宅 与 家 庭 的 隐私 ， 如 何 保证 家 庭 成 员 及 
外 来 人 员 对 家 庭 网 络 的 合理 利用 ， 以 及 如 何 安全 有 效 地 保证 家 庭 中 各 种 电器 设备 的 接 入 安 
全 。 通 过 对 比 数据 安全 与 接 入 安全 中 现 有 的 加 密 技术 、 身 份 认证 技术 及 访问 控制 技术 ， 结 
合 智能 家 居中 网 络 规模 小 、 设 备 相 对 落后 、 对 处 理 的 速率 要 求 高 等 自身 特点 ， 选 择 适 合 智 
能 家 居 使 用 的 AES 对 称 密码 算法 `MAC 地 址 认证 技术 及 基于 角色 的 访问 控制 技术 等 信息 安 
全 关键 技术 ， 并 将 这 些 关键 技术 运用 到 实际 应 用 中 。 本 节 将 设计 一 种 智能 家 居 信 息 安全 管 
理 系统 ， 并 将 关键 技术 应 用 到 系统 中 ， 从 而 验证 技术 的 安全 性 和 实用 性 。 


10.3.1 系统 设计 环境 
智能 家 居 信 息 安全 管理 系统 的 设计 环境 如 下 。 
1. 硬件 环境 
实验 器 材 :电脑 三 台 (一 台 用 作 终 端 ， 两 台 模 拟 节点 设备 )。 
2. 软件 环境 


操作 系统 : Microsoft Windows 7/8/10。 

开发 环境 : Microsoft Visual Studio 2010/2015。 
开发 语言 C#。 

网 络 协议 : SSL 协议 ，TCP/IP 协议 。 


10.3.2 ”系统 总 体 设计 


本 系统 设计 的 是 智能 家 居 信息 安全 管理 系统 ， 实 现 整 个 智能 家 居 网 络 中 数据 的 安全 采 
集 、 节 点 设备 的 安全 接 入 以 及 访问 用 户 的 安全 使 用 。 智 能 家 居 信息 安全 管理 系统 的 功能 模 
块 由 客户 端 模块 、 数 据 采 集 模块 、 访 问 控制 模块 、 设 备 认证 模块 组 成 ， 如 图 10-4 所 示 。 
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10-4 智能 家 居 信 息 安 全 管理 系统 功能 模块 


10.3.3 ”客户 端 模块 


客户 端 模块 是 用 户 和 网 络 通信 的 桥梁 ， 是 用 户 得 到 系统 信息 的 窗口 ， 用 户 根据 提示 信 
息 进行 账户 注册 、 登 录 、 信 息 完善 等 操作 ， 实 现 用 户 及 节点 设备 的 信息 管理 。 客 户 端 由 注 
册 登 录 模 块 、 权 限 申 请 模块 及 信息 管理 模块 组 成 。 

客户 端的 主要 功能 有 以 下 3 点 。 

1. 完成 用 户 信息 注册 以 及 登录 

注册 与 登录 是 用 户 系统 必 不 可 少 的 模块 ， 用 户 使 用 该 模块 提供 的 注册 系统 进行 信息 注 
册 ， 并 取得 自己 在 系统 中 的 唯一 身份 标识 信息 ， 再 存 入 数据 库 中。 完成 注册 后 ， 用 户 通 过 
填写 注册 时 设置 的 了 D 与 密码 进行 登录 ， 系 统 将 所 填 信息 与 数据 库 中 保存 的 信息 进行 匹配 
从 而 决定 用 户 是 否 可 以 登录 系统 。 

2. 完成 用 户 信息 的 修改 及 完善 


用 户 通 过 该 模块 可 以 对 自己 的 个 人 信息 进行 修改 ， 包 括 密码 、 姓 名 、 用 户 类 型 及 关联 
设备 等 , 由 于 ID 的 唯一 性 ,所 以 这 里 的 ID 不 能 修改 。 将 与 用 户 关 联 的 设备 的 MAC 地 址 录 
入 到 数据 库 ， 当 设备 出 现 安全 隐患 时 ， 不 仅 能 清楚 地 查询 到 该 设备 的 归属 ， 而 且 与 设备 认 
证 模块 中 的 MAC 地 址 认证 功能 的 地 址 数据 相 匹配 。 

3. 完成 用 户 访问 权限 的 申请 


用 户 可 根据 自己 的 使 用 需求 ， 申 请 网 络 中 各 节点 设备 的 数据 访问 权限 。 用 户 需 将 姓名 
与 访问 申请 同时 提交 ， 这 样 管理 员 就 可 以 根据 用 户 的 身份 对 提出 的 申请 进行 操作 。 


10.3.4 ”访问 控制 模块 


访问 控制 是 数据 库 安全 至 关 重 要 的 内 容 ， 目 的 是 确保 用 户 对 数据 库 只 能 进行 经 过 授权 
的 有 关 操 作 。 在 信息 安全 管理 系统 中 ， 访 问 控制 模块 就 是 智能 家 居 网 络 为 了 确保 自身 的 信 
息 安全 而 对 接 入 用 户 进行 权限 管理 的 模块 。 这 里 的 访问 控制 技术 采用 的 是 基于 角色 的 访问 
控制 模型 ， 在 智能 家 居 网 络 中 ， 访 问 控制 主要 是 用 户 一 角色 一 权限 的 映射 关系 ， 其 映射 关 
系 如 图 10-5 所 示 。 
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图 10-5 访问 控制 映射 关系 


(1) 用 户 : 建立 并 维护 用 户 与 角色 之 间 的 绑 定 关系 。 

(2) 角色 : 维护 角色 以 及 角色 与 权限 的 映射 关系 。 

(3) 权限 : 对 系统 中 所 有 资源 做 一 定 整理 和 归纳 并 储存 ， 可 以 对 其 进行 检索 。 

在 访问 控制 模块 中 ， 将 用 户 所 属 类 别 定义 为 角色 ， 对 用 户 进行 分 类 ， 分 为 家 人 、 客 人 、 
临时 人 员 三 类 ， 不 同 的 角色 有 着 不 同 的 权限 : 家 人 是 指 对 住宅 没有 信息 安全 隐患 的 用 户 ， 
这 类 用 户 可 访问 的 设备 数据 类 型 较 多 ， 使 用 时 间 较 长 ， 客人 是 指 经 管理 员 人 允许 进入 住宅 的 
用 户 ， 可 以 访问 不 涉及 隐私 的 设备 数据 以 及 管理 员 人 允许 的 部 分 隐私 数据 ;临时 人 员 指 部 分 
临时 使 用 数据 的 用 户 ， 如 设备 维修 人 员 、 家 政 人 员 等 ， 需 要 根据 用 户 所 需 访 问 的 设备 数据 
进行 权限 配置 。 权 限 则 是 智能 家 居 网 络 中 各 个 设备 的 数据 权限 ， 包 括 温度 设备 、 监 控 摄 像 
头 、 空 调 、 窗 帘 等 设备 所 产生 的 数据 的 访问 权限 。 主 要 角色 的 权限 矩阵 如 表 10-1 所 示 。 


























表 10-1 权限 矩阵 
角色 
家 人 
客人 
空调 维修 人 员 





窗帘 维修 人 员 无 权限 无 权限 


10.3.5 ”数据 采集 模块 


数据 采集 模块 是 实现 用 户 身 份 信息 的 存储 和 查询 以 及 实现 节点 设备 所 采集 数据 的 存储 
和 查询 ， 主 要 包括 数据 存储 和 数据 查询 两 个 部 分 ， 其 中 数据 存储 的 主要 功能 是 将 各 节点 设 
备 所 发 送 的 数据 分 类 、 加 密 并 存 入 数据 库 ， 数 据 查 询 的 主要 功能 是 用 户 根据 系统 所 赋予 的 
权限 对 所 需 数据 进行 查询 并 进行 解密 操作 。 这 里 的 密码 学 算法 是 AES 对 称 密码 算法 。 

数据 存储 模块 的 工作 流程 是 系统 接收 到 节点 设备 发 送 的 数据 ， 并 显示 出 其 数据 类 型 ， 
包含 内 容 、 物 理 地 址 、 用 户 类 型 、 时 间 、 来 源 。 管 理 员 首先 需要 根据 数据 的 用 途 来 判断 数 
据 是 否 需 要 保存 ， 如 果 数 据 需要 保存 ， 则 对 数据 进行 AES 加 密 处 理 ， 并 保存 到 数据 库 中 ; 
如 果 数 据 无 须 保 存 ， 则 直接 删除 。 数 据 存储 模块 的 流程 图 如 图 10-6 所 示 。 

数据 查询 模块 的 工作 流程 是 用 户 根据 数据 来 源 进行 查询 ， 查 询 出 的 数据 是 经 过 AES 对 
称 密码 算法 加 密 的 数据 ， 如 果 用 户 拥有 查询 该 来 源 数据 的 权限 ， 则 可 将 数据 进行 解密 操作 ， 
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查看 数据 信息 ;如果 用 户 没有 查询 该 来 源 数据 的 权限 ， 则 无 法 解密 数据 。 









系统 将 节点 设备 的 
数据 上 传 至 服务 器 








系统 将 数据 从 
服务 器 中 删除 


10-6 数据 存储 模块 流程 图 


10.3.6 “设备 认证 模块 

设备 认证 模块 是 节点 设备 与 系统 进行 交互 ， 进 行 通 信 的 桥梁 。 设 备 认证 模块 的 主要 功 
能 是 对 提出 接 入 请 求 的 设备 进行 认证 ， 这 里 将 密码 学 与 身份 认证 相 结合 ， 即 将 AES 对 称 密 
码 算法 应 用 到 MAC 地 址 认证 技术 中 ， 极 大 地 增强 了 设备 接 入 时 的 安全 性 。 

地 址 录入 功能 是 将 所 需 接 入 节点 的 物理 地 址 录入 至 数据 库 ， 这 样 在 接 入 请 求 中 将 节点 
发 送 来 的 字符 串 解 密 并 进行 验证 ， 如 匹配 则 允许 接 入 ， 不 匹配 则 删除 接 入 请 求 。 

智能 家 居 网 络 属 于 特定 应 用 背景 的 传 感 网 络 ， 只 有 通过 授权 的 安全 节点 才 被 允许 加 入 
网 络 ， 节 点 入 网 前 的 安全 认证 是 确保 整个 系统 安全 的 第 一 步 ， 其 主要 内 容 在 于 节点 身份 的 
安全 性 验证 。 本 系统 的 设备 认证 模块 根据 节点 物理 地 址 具有 唯一 性 的 特点 , 使 用 MAC 地 址 
认证 方式 进行 认证 ， 其 主要 工作 原理 如 图 10-7 所 示 。 

(1) 智能 家 居 节 点 N 入 网 时 ， 向 客户 端 发 出 入 网 请 求 。 

(2) 客户 端 收 到 节点 N 的 入 网 请 求 后 ， 向 节点 N 发 出 包含 密 钥 的 验证 请 求 。 

(3) 节点 N 收 到 验证 请 求 后 ， 向 客户 端 发 送 验证 信息 (为 使 用 AES 算法 加 密 过 的 字 
符 串 )。 

(4) 客户 端 收 到 验证 信息 后 , 分 离 信 息 中 的 物理 地 址 和 密 钥 , 如 验证 成 功 则 允许 节点 N 
加 入 网 络 。 

为 保证 密 钥 的 安全 性 ， 防 止 密 钥 传输 过 程 中 被 窃取 ， 这 里 引入 密 钥 分 配 技术 。 实 际 的 
解决 方法 就 是 运用 一 个 可 信 的 第 三 方 ， 称 为 密 钥 分 配 中 心 (Key Distribution Center，KDC)， 
KDC 的 任务 就 是 当 客户 端 与 节点 设备 之 间 进 行 通信 时 分 配 一 个 临时 密 铀 ， 也 称 会 话 密 钥 。 
会 话 密 钥 是 为 保证 安全 通信 会 话 而 随机 产生 的 加 解密 密 钥 ， 功 能 与 主 密 钥 相同 ， 会 话 密 钥 
的 安全 性 依赖 于 其 使 用 时 间 的 短暂 性 ， 即 当 次 通信 结束 后 即 销毁 。 密 钥 分 配 具体 的 工作 流 
程 如 图 10-8 所 示 。 
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长 入 网 请 求 
自 
ee KDC 
长 密 钥 认证 A 
准许 入 网 > 会 话 密 角 
客户 器 和 AN 
MAC 地 址 密 文 S 


图 10-7 设备 认证 模块 工作 原理 图 10-8” 密 钥 分 配 


客户 端 向 KDC 发 送 会 话 密 钥 请 求 ，KDC 接收 到 请 求 后 生成 会 话 密 钥 并 发 送 至 客户 端 ， 
客户 端 将 会 话 密 钥 和 与 需要 发 送 节 点 N 的 验证 请 求 发 送 至 节点 N， 节 点 N 向 客户 端 发 送 验 
证 信息 (为 使 用 AES 算法 加 密 过 的 MAC 地 址 密 文 )， 客 户 端 通过 解密 出 物理 地 址 进行 匹配 ， 
匹配 成 功 则 允许 节点 N 加 入 网 络 。 故 加 入 KDC 后 ,设备 认证 模块 的 流程 图 如 图 10-9 所 示 。 


















入 网 请 求 





验证 请 求 


密 钥 认证 














图 10-9 设备 认证 模块 工作 流程 图 
通过 KDC 进行 会 话 密 钥 的 分 配 ， 能 有 效 地 保证 密 钥 的 机 密 性 与 系统 的 安全 性 。 即 使 入 
侵 者 获得 了 会 话 密 钥 ， 获 取 此 次 通信 的 部 分 信息 ， 但 是 进行 下 一 次 通信 之 前 ，KDC 会 更 换 
会 话 密 钥 ， 之 前 使 用 的 会 话 密 钥 会 被 删除 ， 不 会 对 主 密 钥 的 安全 构成 威胁 。 
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10.4 ”智能 家 居 信 息 安全 管理 系统 的 实现 


上 一 节 对 智能 家 居 信息 安全 管理 系统 进行 总 体 设计 ， 并 将 适合 智能 家 居 信 息 安 全 的 
AES 对 称 密码 算法 、MAC 地 址 认证 技术 及 基于 角色 的 访问 控制 技术 等 信息 安全 关键 技术 运 
用 至 数据 采集 模块 、 设 备 认 证 模块 、 访 问 控制 模块 中 。 本 节 将 对 智能 家 居 信息 安全 管理 系 
统 中 各 个 模块 的 功能 进行 测试 ， 通 过 测试 智能 家 居 信息 安全 管理 系统 的 界面 及 功能 ， 验 证 
所 使 用 的 关键 技术 的 安全 性 及 实用 性 。 


10.4.1 客户 端 信息 录入 
信息 录入 包括 注册 、 登 录 、 修 改 个 人 信息 、 权 限 申请 4 个 功能 。 
1. 注册 


使 用 系统 的 新 用 户 需 要 进行 注册 。 用 户 设置 新 的 用 户 名 和 密码 ， 单 击 “ 注 册 ” 按 钮 会 
出 现 注 册 界 面 。 

若 用户 名 已 存在 ， 说 明 此 用 户 名 已 被 其 他 用 户 注册 过 。 

系统 设置 的 密码 规则 是 字符 长 度 为 6 一 14 个 字符 ， 若 设置 的 密码 不 符合 规则 ， 则 出 现 
“设置 密码 不 符合 规定 ”提示 信息 。 

2. 登录 


用 户 注册 后 ， 使 用 注册 时 的 用 户 名 和 密码 进行 登录 ， 登 录 成 功 后 可 使 用 系统 。 

若 输 入 的 用 户 名 没有 注册 信息 ， 则 出 现 “ 用 户 名 未 注册 ”提示 信息 。 

若 输 入 的 密码 与 用 户 名 不 匹配 ， 则 出 现 “ 密 码 错误 ， 请 重新 输入 ”提示 信息 。 

3. 修改 个 人 信息 

用 户 登录 后 ， 可 以 对 自己 的 个 人 信息 进行 完善 ， 在 “修改 个 人 信息 ”界面 中 输入 自己 
的 真实 姓名 ， 根 据 自己 的 身份 选择 自己 的 用 户 类 型 ， 并 输入 关联 设备 的 名 称 和 物理 地 址 ， 
单 击 “ 保 存 ” 按 钮 进行 保存 。 

4. 权限 申请 


用 户 根据 自己 的 需要 ， 对 智能 家 居 网 络 中 的 各 个 节点 设备 数据 的 查看 进行 权限 申请 ， 
输入 用 户 的 真实 姓名 并 选择 需要 查看 数据 的 节点 设备 ， 单 击 “ 申 请 ”按钮 ， 此 时 申请 信息 
会 出 现在 管理 员 的 主 界面 中 。 


10.4 2 用户 权限 管理 


用 户 管理 功能 是 管理 员 根 据 录 入 用 户 的 权限 申请 及 需求 ， 对 录入 用 户 进行 权限 管理 。 
管理 员 根 据 权 限 申请 进行 设置 ， 若 将 用 户 名 设 为 “无 ”， 则 是 对 角色 及 所 属 类 别 的 权限 进 
行 设置 。 这 里 将 家 人 的 使 用 权限 定义 为 : 全 天 的 空调 数据 ， 白 天 的 温度 计数 据 ， 夜 晚 的 监 
控 摄 像 头 数据 ， 以 及 白天 的 窗帘 数据 。 

若 将 用 户 名 设 为 人 名 ， 如 设置 为 张 科 ， 所 属 类 别 设置 为 家 人 ， 则 张 科 的 角色 定义 为 家 
人 ， 并 获得 之 前 家 人 的 角色 定义 的 权限 。 单 击 “ 保 存 ” 按 钮 ， 完 成 对 张 科 的 权限 管理 。 
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10.4.3 ”数据 采集 管理 


数据 采集 管理 包括 数据 存储 和 数据 查询 两 个 功能 。 管 理 员 进入 数据 存储 界面 后 ， 显 示 
数据 采集 基本 信息 ， 包 括 内 容 、MAC 地 址 、 用 户 类 型 、 时 间 、 来 源 等 字段 内 容 。 

有 3 个 不 同 节点 设备 采集 来 的 数据 ， 根 据 定义 设备 每 3 小 时 发 送 一 次 数据 。 通 过 判断 ， 
在 5 组 数据 中 ， 第 一 、 第 二 、 第 四 、 第 五 组 数据 需要 保存 至 数据 库 ， 首 先 将 这 4 组 数据 加 
密 ， 单 击 “ 加 密 ” 按 钮 ， 则 数据 经 过 AES 对 称 密码 算法 加 密 后 显示 。 

通过 判断 ， 第 三 组 数据 无 须 保存 ， 则 单 击 “ 删 除 ”按钮 ， 即 删除 成 功 。 单 击 “ 保 存 ” 
按钮 ， 则 将 加 密 过 的 四 组 数据 保存 至 数据 库 中 。 


10.4.4 设备 认证 管理 


设备 认证 管理 包括 地 址 录入 和 接 入 请 求 两 个 功能 。 

(1) 地 址 录入 功能 是 管理 员 将 用 户 所 需 关 联 的 节点 设备 的 物理 地 址 录入 数据 库 ， 实 现 
录入 成 功 。 

(2) 接 入 请 求 功能 是 将 节点 设备 的 物理 地 址 进行 验证 接 入 。 节 点 设备 发 出 接 入 请 求 ， 
客户 端 将 包含 AES 密 钥 的 验证 请 求 发 送 至 节点 设备 ， 节 点 设备 将 加 密 过 的 物理 地 址 字符 串 
发 送 至 客户 端 。 

选中 其 中 一 条 请 求 ， 并 单 击 “解密 ”按钮 ， 则 显示 该 节点 设备 的 真实 物理 地 址 。 

单 击 “ 验 证 ”按钮 ， 将 节点 设备 的 物理 地 址 与 数据 库 中 录入 的 物理 地 址 进行 匹配 ， 单 
击 第 一 条 请 求 信息 ， 因 其 物理 地 址 之 前 成 功 录 入 ， 匹 配 成 功 ， 则 说 明 该 节点 设备 安全 ， 并 
弹出 “验证 成 功 ”信息 ， 单 击 “ 人 允许 ”按钮 接受 该 节点 设备 的 接 入 请 求 。 

单 击 第 二 条 请 求 信息 ， 因 无 物理 地 址 录入 ， 匹 配 失败 隐患 ， 并 弹出 “验证 失败 ， 无 地 
址 信息 ”信息 ， 则 说 明 该 节点 设备 存在 安全 威胁 ， 单 击 “ 删 除 ” 按 钮 删除 该 节点 设备 的 接 
入 请 求 。 
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智能 家 居 给 人 们 带 来 了 舒适 便捷 的 生活 和 工作 环境 ， 同 时 也 会 带 来 各 种 安全 问题 。 智 
能 家 居 看 起 来 智能 化 了 ， 但 如 果 安 全 问题 没有 解决 ， 则 会 对 用 户 乃 至 社会 造成 很 大 的 影响 。 
智能 家 居 作 为 一 个 多 种 类 型 网 络 的 异 构 融 合 网 络 ， 它 不 仅仅 存在 着 与 传感器 网 络 、 移 动 通 
信 网 络 和 因特网 等 网 络 同样 的 安全 问题 ， 同 时 其 与 传统 的 网 络 有 着 较 大 的 区 别 。 由 于 其 融 
合 性 、 互 通 性 等 特性 ， 其 具有 独特 的 安全 问题 ， 如 隐私 保护 问题 、 访 问 控制 问题 、 异 构 网 
络 中 的 安全 路 由 技术 、 数 据 存储 和 数据 管理 等 问题 。 本 章 在 基于 物 联 网 安全 架构 的 基础 上 ， 
对 智能 家 居 的 安全 问题 进行 深入 研究 ， 详 细 分 析 智 能 家 居 在 数据 传输 、 终 端 接 入 中 所 存在 
的 安全 隐患 ， 提 出 相对 应 的 安全 需求 ， 结 合 多 种 加 密 技术 、 身 份 认 证 技术 与 访问 机 制 技术 ， 
提出 适合 现代 智能 家 居 使 用 的 关键 技术 : 将 适合 的 加 密 算法 应 用 在 数据 采集 及 身份 认证 中 
保护 智能 家 居中 数据 及 整个 网 络 的 安全 ; 使 用 适合 的 身份 认证 技术 ， 保 证 智能 家 居 网 络 不 
受到 非法 节点 的 入 侵 ; 使 用 适合 的 访问 机 制 ， 通 过 对 接 入 终端 或 用 户 合法 使 用 资源 进行 认 
证 和 控制 ， 有 效 地 保证 了 智能 家 居 系 统 资源 的 合理 、 合 法 利用 。 
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